BlockSec تكشف عن ثغرتين في عقود المقتنيات الرقمية وأصول بقيمة 34 مليون دولار تم قفلها

اكتشف فريق BlockSec مؤخرًا ثغرتين خطيرتين في عقد أحد المقتنيات الرقمية. قد تؤدي هاتان الثغرتان إلى قفل أصول المستخدمين وعدم قدرة فريق المشروع على سحب الأموال.

الثغرة الأولى موجودة في دالة معالجة الاسترداد. تستخدم هذه الدالة طريقة الحلقة لاسترداد الأموال لجميع المستخدمين، ولكن إذا كان أحد هؤلاء المستخدمين عقدًا خبيثًا، فقد يرفض استلام الاسترداد ويتسبب في تراجع المعاملة، مما يؤدي إلى عدم اكتمال عمليات الاسترداد لجميع المستخدمين. على الرغم من أن هذه الثغرة لم تُستغل في النهاية، إلا أنها لا تزال تشكل خطرًا محتملًا.

فيما يتعلق بمثل هذه السيناريوهات المتعلقة بالاسترداد، يوصي الخبراء باتخاذ التدابير التالية لزيادة الأمان:

1. الحد من المشاركة في المشروع على الحسابات الشخصية فقط
2. استخدم رموز ERC20 مثل WETH بدلاً من الأصول الأصلية
3. تصميم آلية للمستخدمين لاسترداد المبالغ بشكل نشط، لتجنب عمليات استرداد جماعية

!

العيب الثاني هو نتيجة خطأ منطقي في الكود. في دالة سحب الأموال من فريق المشروع، يوجد عبارة شرطية كان ينبغي أن تقارن "تقدم الاسترداد" و"فهرس العطاء"، لكنها قورنت بشكل خاطئ مع "إجمالي عدد العطاءات". وهذا أدى إلى عدم إمكانية تحقيق الشرط أبداً، وبالتالي لم يتمكن فريق المشروع من سحب الأموال من العقد. والآن، تم قفل أكثر من 34 مليون دولار من الأصول في العقد.

!

تسلط هذه المشاكل الضوء مرة أخرى على أهمية إجراء اختبارات شاملة وتدقيق أمني في تطوير مشاريع blockchain. وخاصة في مجال المقتنيات الرقمية، لا يزال هناك نقص كافٍ في الوعي الأمني وممارسات التدقيق، مما قد يؤدي إلى خسائر اقتصادية خطيرة. يحتاج فريق المشروع إلى بناء فكر أمني أساسي، وكتابة حالات اختبار كافية، وإجراء تدقيق أمني احترافي قبل الإصدار، لتجنب حدوث أخطاء من هذا النوع.

!