مؤخراً، تم اكتشاف ثغرتين خطيرتين في العقود الذكية لمشروع معروف في مجال المقتنيات الرقمية، مما أثار متابعات واسعة في الصناعة. عندما قامت الفرق الأمنية بتحليل العقود الخاصة بهذا المشروع، اكتشفت هذه المخاطر المحتملة.
تتعلق الثغرة الأولى بآلية الاسترداد. تستخدم دالة الاسترداد في العقد طريقة دورية لاسترداد الأموال للمستخدمين، ولكن هذا التصميم يحتوي على عيب كبير. إذا كان عنوان استرداد الأموال ضارًا، فقد يرفض الاستلام مما يؤدي إلى فشل المعاملة، وبالتالي يؤثر على عملية استرداد الأموال لجميع المستخدمين الآخرين. لحسن الحظ، لم يتم استغلال هذه الثغرة فعليًا.
!
بالنسبة لهذه الحالة، يقترح الخبراء الأمنيون أن يتخذ فريق المشروع التدابير التالية لضمان أمان الاستردادات:
الحد من مشاركة المشروع فقط لحسابات المستخدمين العاديين
استخدام رموز ERC20 مثل WETH بدلاً من الأصول الأصلية
تصميم آلية تجعل المستخدمين يقدمون طلبات استرداد الأموال بشكل نشط، وتجنب الاستردادات الجماعية
الثغرة الثانية ناتجة عن خطأ منطقي في الشيفرة. في دالة استخراج أموال المشروع، يوجد عبارة شرطية كان من المفترض أن تقارن بين متغيرين محددين، لكن تم استخدام متغير آخر بشكل خاطئ للمقارنة. وهذا أدى إلى عدم إمكانية تحقيق الشرط أبدًا، مما يمنع فريق المشروع من استخراج الأصول الموجودة في العقد. يُقدَّر حاليًا أن أكثر من 34 مليون دولار من الأصول قد تم قفلها بشكل دائم في العقد.
!
تسلط هذه الحادثة الضوء مرة أخرى على أن حتى المشاريع المعروفة قد تواجه أخطاء أساسية. إنها تذكرنا بأن وجود مجموعة شاملة من حالات الاختبار ووعي أساسي بالأمان أمر لا غنى عنه خلال عملية التطوير. على الرغم من أن التدقيق الأمني أصبح ممارسة شائعة في مجال DeFi، إلا أن هذه المرحلة لا تزال تبدو مهملة في مشاريع المقتنيات الرقمية. الخسارة الكبيرة هذه هي نتيجة مباشرة لغياب التدقيق الأمني.
يجب أن تصبح هذه الحادثة تحذيرًا للصناعة بأكملها، لتذكير جميع المشاركين بأهمية أمان العقود الذكية، وتعزيز مراجعة الشيفرة وعمليات الاختبار، لمنع حدوث خسائر كبيرة مماثلة مرة أخرى.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 13
أعجبني
13
3
مشاركة
تعليق
0/400
shadowy_supercoder
· منذ 2 س
ماذا تفعل شركات التدقيق؟
شاهد النسخة الأصليةرد0
BlockchainWorker
· منذ 16 س
العقود الذكية مرة أخرى تتعرض للانهيار؟ ننتظر لنرى العرض
خلل في العقود الذكية لمشروع رقمي مشهور أدى إلى قفل 34 مليون دولار
مؤخراً، تم اكتشاف ثغرتين خطيرتين في العقود الذكية لمشروع معروف في مجال المقتنيات الرقمية، مما أثار متابعات واسعة في الصناعة. عندما قامت الفرق الأمنية بتحليل العقود الخاصة بهذا المشروع، اكتشفت هذه المخاطر المحتملة.
تتعلق الثغرة الأولى بآلية الاسترداد. تستخدم دالة الاسترداد في العقد طريقة دورية لاسترداد الأموال للمستخدمين، ولكن هذا التصميم يحتوي على عيب كبير. إذا كان عنوان استرداد الأموال ضارًا، فقد يرفض الاستلام مما يؤدي إلى فشل المعاملة، وبالتالي يؤثر على عملية استرداد الأموال لجميع المستخدمين الآخرين. لحسن الحظ، لم يتم استغلال هذه الثغرة فعليًا.
!
بالنسبة لهذه الحالة، يقترح الخبراء الأمنيون أن يتخذ فريق المشروع التدابير التالية لضمان أمان الاستردادات:
الثغرة الثانية ناتجة عن خطأ منطقي في الشيفرة. في دالة استخراج أموال المشروع، يوجد عبارة شرطية كان من المفترض أن تقارن بين متغيرين محددين، لكن تم استخدام متغير آخر بشكل خاطئ للمقارنة. وهذا أدى إلى عدم إمكانية تحقيق الشرط أبدًا، مما يمنع فريق المشروع من استخراج الأصول الموجودة في العقد. يُقدَّر حاليًا أن أكثر من 34 مليون دولار من الأصول قد تم قفلها بشكل دائم في العقد.
!
تسلط هذه الحادثة الضوء مرة أخرى على أن حتى المشاريع المعروفة قد تواجه أخطاء أساسية. إنها تذكرنا بأن وجود مجموعة شاملة من حالات الاختبار ووعي أساسي بالأمان أمر لا غنى عنه خلال عملية التطوير. على الرغم من أن التدقيق الأمني أصبح ممارسة شائعة في مجال DeFi، إلا أن هذه المرحلة لا تزال تبدو مهملة في مشاريع المقتنيات الرقمية. الخسارة الكبيرة هذه هي نتيجة مباشرة لغياب التدقيق الأمني.
يجب أن تصبح هذه الحادثة تحذيرًا للصناعة بأكملها، لتذكير جميع المشاركين بأهمية أمان العقود الذكية، وتعزيز مراجعة الشيفرة وعمليات الاختبار، لمنع حدوث خسائر كبيرة مماثلة مرة أخرى.
!