Baru-baru ini, sebuah proyek koleksi digital terkenal ditemukan memiliki dua kerentanan serius pada smart contract-nya, yang menarik perhatian luas di industri. Tim keamanan menemukan risiko potensial ini saat menganalisis kontrak proyek tersebut.
Kekurangan pertama terkait dengan mekanisme pengembalian dana. Fungsi pengembalian dana dalam kontrak menggunakan metode loop untuk mengembalikan dana kepada pengguna, tetapi desain ini memiliki cacat yang signifikan. Jika alamat yang menerima pengembalian dana adalah kontrak jahat, itu mungkin menolak untuk menerima dan menyebabkan transaksi gagal, yang pada gilirannya mempengaruhi proses pengembalian dana semua pengguna lainnya. Beruntungnya, celah ini belum pernah dimanfaatkan.
Untuk situasi seperti ini, para ahli keamanan menyarankan bahwa pihak proyek dapat mengambil langkah-langkah berikut untuk memastikan keamanan pengembalian dana:
Pembatasan hanya akun pengguna biasa yang dapat berpartisipasi dalam proyek
Menggunakan token ERC20 seperti WETH daripada aset asli
Rancang mekanisme yang memungkinkan pengguna untuk secara aktif mengajukan permohonan pengembalian dana, hindari pengembalian dana secara massal.
Kelemahan kedua disebabkan oleh kesalahan logika dalam kode. Dalam fungsi yang mengekstrak dana proyek, terdapat pernyataan kondisi yang seharusnya membandingkan dua variabel tertentu, tetapi secara keliru menggunakan variabel lain untuk perbandingan. Ini mengakibatkan kondisi tidak pernah terpenuhi, sehingga pihak proyek tidak dapat mengekstrak aset dalam kontrak. Diperkirakan saat ini ada lebih dari 34 juta dolar aset yang terkunci secara permanen dalam kontrak.
Peristiwa ini sekali lagi menyoroti bahwa bahkan proyek terkenal pun bisa menghadapi kesalahan mendasar. Ini mengingatkan kita bahwa selama proses pengembangan, pengujian yang menyeluruh dan kesadaran dasar akan keamanan adalah hal yang tidak dapat diabaikan. Meskipun dalam bidang DeFi, audit keamanan telah menjadi praktik umum, namun dalam proyek koleksi digital, tahap ini tampaknya masih diabaikan. Kerugian besar kali ini adalah akibat langsung dari kurangnya audit keamanan.
Peristiwa ini seharusnya menjadi peringatan bagi seluruh industri, mengingatkan semua peserta untuk memprioritaskan keamanan smart contract, memperkuat proses audit dan pengujian kode, guna mencegah kerugian besar serupa terjadi lagi.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
13 Suka
Hadiah
13
4
Bagikan
Komentar
0/400
HodlKumamon
· 3jam yang lalu
Selesai, kemungkinan kesalahan logika pengguna dalam penarikan adalah kegagalan seratus persen.
Vulnerabilitas smart contract proyek koleksi digital terkenal menyebabkan 34 juta dolar terkunci
Baru-baru ini, sebuah proyek koleksi digital terkenal ditemukan memiliki dua kerentanan serius pada smart contract-nya, yang menarik perhatian luas di industri. Tim keamanan menemukan risiko potensial ini saat menganalisis kontrak proyek tersebut.
Kekurangan pertama terkait dengan mekanisme pengembalian dana. Fungsi pengembalian dana dalam kontrak menggunakan metode loop untuk mengembalikan dana kepada pengguna, tetapi desain ini memiliki cacat yang signifikan. Jika alamat yang menerima pengembalian dana adalah kontrak jahat, itu mungkin menolak untuk menerima dan menyebabkan transaksi gagal, yang pada gilirannya mempengaruhi proses pengembalian dana semua pengguna lainnya. Beruntungnya, celah ini belum pernah dimanfaatkan.
Untuk situasi seperti ini, para ahli keamanan menyarankan bahwa pihak proyek dapat mengambil langkah-langkah berikut untuk memastikan keamanan pengembalian dana:
Kelemahan kedua disebabkan oleh kesalahan logika dalam kode. Dalam fungsi yang mengekstrak dana proyek, terdapat pernyataan kondisi yang seharusnya membandingkan dua variabel tertentu, tetapi secara keliru menggunakan variabel lain untuk perbandingan. Ini mengakibatkan kondisi tidak pernah terpenuhi, sehingga pihak proyek tidak dapat mengekstrak aset dalam kontrak. Diperkirakan saat ini ada lebih dari 34 juta dolar aset yang terkunci secara permanen dalam kontrak.
Peristiwa ini sekali lagi menyoroti bahwa bahkan proyek terkenal pun bisa menghadapi kesalahan mendasar. Ini mengingatkan kita bahwa selama proses pengembangan, pengujian yang menyeluruh dan kesadaran dasar akan keamanan adalah hal yang tidak dapat diabaikan. Meskipun dalam bidang DeFi, audit keamanan telah menjadi praktik umum, namun dalam proyek koleksi digital, tahap ini tampaknya masih diabaikan. Kerugian besar kali ini adalah akibat langsung dari kurangnya audit keamanan.
Peristiwa ini seharusnya menjadi peringatan bagi seluruh industri, mengingatkan semua peserta untuk memprioritaskan keamanan smart contract, memperkuat proses audit dan pengujian kode, guna mencegah kerugian besar serupa terjadi lagi.