- Тема
63k Популярність
40k Популярність
11k Популярність
4k Популярність
5k Популярність
30k Популярність
16k Популярність
23k Популярність
13k Популярність
3k Популярність
- Закріпити
63k Популярність
40k Популярність
11k Популярність
4k Популярність
5k Популярність
30k Популярність
16k Популярність
23k Популярність
13k Популярність
3k Популярність
BlockSec виявив два великі вразливості в контракті цифрових колекцій, 34 мільйони доларів активів заблоковано.
Команда BlockSec нещодавно виявила два серйозні вразливості в контракті цифрових колекцій. Ці два вразливості можуть призвести до блокування активів користувачів і неможливості вилучення коштів вечірки проєкту.
Перша вразливість існує у функції обробки повернень. Ця функція використовує циклічний метод для повернення коштів усім користувачам, але якщо один з користувачів є зловмисним контрактом, він може відмовитися приймати повернення коштів і призвести до скасування транзакції, в результаті чого всі операції повернення коштів для користувачів не можуть бути завершені. Хоча ця вразливість врешті-решт не була використана, все ж існує потенційний ризик.
Щодо таких сценаріїв повернення, експерти радять вжити кілька заходів для підвищення безпеки:
!
Другий вразливість викликана логічною помилкою в коді. У функції, що відповідає за вилучення коштів вечірки проєкту, є умова, яка повинна порівнювати "прогрес повернення" і "індекс тендеру", але помилково порівнює з "загальною кількістю тендерів". Це призвело до того, що умова ніколи не може бути виконана, через що вечірка проєкту не може вилучити кошти з контракту. В даний час більше 34 мільйонів доларів активів заблоковано в контракті.
!
Ці питання ще раз підкреслюють важливість проведення всебічного тестування та безпекового аудиту в розробці блокчейн-проєктів. Особливо в сфері цифрових колекцій, зараз все ще не вистачає достатньої обізнаності про безпеку та практики аудиту, що може призвести до серйозних економічних втрат. Розробницькі команди повинні встановити основне безпекове мислення, написати достатню кількість тестових випадків і провести професійний безпековий аудит перед випуском, щоб уникнути подібних низькорівневих помилок.
!