Son günlerde, tanınmış bir dijital koleksiyon projesinin akıllı sözleşmelerinde iki ciddi güvenlik açığı tespit edildi ve bu durum sektörde geniş bir takip et yarattı. Güvenlik ekibi, projenin sözleşmesini analiz ederken bu potansiyel riskleri fark etti.
İlk güvenlik açığı, geri ödeme mekanizmasıyla ilgilidir. Sözleşmedeki geri ödeme fonksiyonu, kullanıcılar için geri ödeme yapmak amacıyla döngüsel bir yöntem kullanmaktadır, ancak bu tasarımda önemli bir kusur bulunmaktadır. Eğer geri ödeme alacak bir adres kötü niyetli bir sözleşme ise, bu adres geri ödemeyi kabul etmeyi reddedebilir ve bu da diğer tüm kullanıcıların geri ödeme sürecini etkileyebilir. Neyse ki, bu güvenlik açığı gerçekte kullanılmamıştır.
Bu tür durumlar için güvenlik uzmanları, projelerin geri ödemenin güvenliğini sağlamak için aşağıdaki önlemleri almasını öneriyor:
Sadece normal kullanıcı hesaplarının projeye katılmasına izin verilir.
Yerel varlıklar yerine WETH gibi ERC20 token'ları kullanın.
Kullanıcıların aktif olarak geri ödeme talep etmelerini sağlayan bir mekanizma tasarlayın, toplu geri ödemeleri önleyin.
İkinci açık, koddaki bir mantık hatasından kaynaklanmaktadır. Proje fonlarını çekme işlevinde, iki belirli değişkeni karşılaştırması gereken bir koşul ifadesi bulunmaktadır, ancak yanlışlıkla başka bir değişkenle karşılaştırma yapılmıştır. Bu, koşulun asla sağlanamamasına ve proje ekibinin sözleşmedeki varlıkları çekememesine yol açmıştır. Şu anda, tahminen 34 milyon dolardan fazla varlık sözleşmede kalıcı olarak kilitlenmiştir.
Bu olay, tanınmış projelerin bile temel hatalar yapabileceğini bir kez daha vurguladı. Geliştirme sürecinde kapsamlı test senaryoları ve temel güvenlik bilincinin vazgeçilmez olduğunu hatırlatıyor. DeFi alanında güvenlik denetimi yaygın bir uygulama haline gelmiş olsa da, dijital koleksiyon projelerinde bu aşama hala göz ardı ediliyor gibi görünüyor. Bu büyük kayıplar, güvenlik denetiminin eksikliğinin doğrudan bir sonucudur.
Bu olay, tüm sektöre bir uyarı olmalı ve tüm katılımcılara akıllı sözleşmelerin güvenliğine önem vermeleri, kod inceleme ve test süreçlerini güçlendirmeleri gerektiğini hatırlatmalıdır; böylece benzer büyük kayıpların bir daha yaşanmasını önleyebiliriz.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 Likes
Reward
13
3
Share
Comment
0/400
shadowy_supercoder
· 3h ago
Denetim şirketleri ne iş yapar?
View OriginalReply0
BlockchainWorker
· 17h ago
akıllı sözleşmeler tekrar mı devrildi? Gösteriyi bekleyelim.
Ünlü dijital koleksiyon projesinin akıllı sözleşme açığı, 34 milyon doların kilitlenmesine neden oldu.
Son günlerde, tanınmış bir dijital koleksiyon projesinin akıllı sözleşmelerinde iki ciddi güvenlik açığı tespit edildi ve bu durum sektörde geniş bir takip et yarattı. Güvenlik ekibi, projenin sözleşmesini analiz ederken bu potansiyel riskleri fark etti.
İlk güvenlik açığı, geri ödeme mekanizmasıyla ilgilidir. Sözleşmedeki geri ödeme fonksiyonu, kullanıcılar için geri ödeme yapmak amacıyla döngüsel bir yöntem kullanmaktadır, ancak bu tasarımda önemli bir kusur bulunmaktadır. Eğer geri ödeme alacak bir adres kötü niyetli bir sözleşme ise, bu adres geri ödemeyi kabul etmeyi reddedebilir ve bu da diğer tüm kullanıcıların geri ödeme sürecini etkileyebilir. Neyse ki, bu güvenlik açığı gerçekte kullanılmamıştır.
Bu tür durumlar için güvenlik uzmanları, projelerin geri ödemenin güvenliğini sağlamak için aşağıdaki önlemleri almasını öneriyor:
İkinci açık, koddaki bir mantık hatasından kaynaklanmaktadır. Proje fonlarını çekme işlevinde, iki belirli değişkeni karşılaştırması gereken bir koşul ifadesi bulunmaktadır, ancak yanlışlıkla başka bir değişkenle karşılaştırma yapılmıştır. Bu, koşulun asla sağlanamamasına ve proje ekibinin sözleşmedeki varlıkları çekememesine yol açmıştır. Şu anda, tahminen 34 milyon dolardan fazla varlık sözleşmede kalıcı olarak kilitlenmiştir.
Bu olay, tanınmış projelerin bile temel hatalar yapabileceğini bir kez daha vurguladı. Geliştirme sürecinde kapsamlı test senaryoları ve temel güvenlik bilincinin vazgeçilmez olduğunu hatırlatıyor. DeFi alanında güvenlik denetimi yaygın bir uygulama haline gelmiş olsa da, dijital koleksiyon projelerinde bu aşama hala göz ardı ediliyor gibi görünüyor. Bu büyük kayıplar, güvenlik denetiminin eksikliğinin doğrudan bir sonucudur.
Bu olay, tüm sektöre bir uyarı olmalı ve tüm katılımcılara akıllı sözleşmelerin güvenliğine önem vermeleri, kod inceleme ve test süreçlerini güçlendirmeleri gerektiğini hatırlatmalıdır; böylece benzer büyük kayıpların bir daha yaşanmasını önleyebiliriz.