Gần đây, một dự án sưu tầm kỹ thuật số nổi tiếng đã được phát hiện có hai lỗ hổng nghiêm trọng trong hợp đồng thông minh, gây ra sự chú ý rộng rãi trong ngành. Đội ngũ an ninh đã phát hiện ra những rủi ro tiềm ẩn này khi phân tích hợp đồng của dự án.
Lỗ hổng đầu tiên liên quan đến cơ chế hoàn tiền. Hàm hoàn tiền trong hợp đồng sử dụng phương pháp vòng lặp để hoàn tiền cho người dùng, nhưng thiết kế này có một thiếu sót nghiêm trọng. Nếu địa chỉ nhận hoàn tiền là một hợp đồng độc hại, nó có thể từ chối nhận và dẫn đến giao dịch thất bại, từ đó ảnh hưởng đến quá trình hoàn tiền của tất cả người dùng khác. May mắn thay, lỗ hổng này chưa được khai thác thực tế.
Đối với những trường hợp như vậy, các chuyên gia an ninh khuyên các bên dự án có thể thực hiện các biện pháp sau để đảm bảo tính an toàn của việc hoàn tiền:
Hạn chế chỉ có tài khoản người dùng thông thường mới có thể tham gia dự án
Sử dụng các token ERC20 như WETH thay vì tài sản gốc
Thiết kế cơ chế để người dùng chủ động yêu cầu hoàn tiền, tránh hoàn tiền hàng loạt.
Lỗ hổng thứ hai là do một lỗi logic trong mã. Trong hàm rút tiền của dự án, có một câu lệnh điều kiện, đáng lẽ phải so sánh hai biến cụ thể, nhưng lại vô tình sử dụng một biến khác để so sánh. Điều này dẫn đến việc điều kiện không bao giờ được thỏa mãn, khiến cho bên dự án không thể rút tài sản trong hợp đồng. Ước tính hiện tại có hơn 34 triệu USD tài sản bị khóa vĩnh viễn trong hợp đồng.
Sự kiện này một lần nữa làm nổi bật rằng ngay cả những dự án nổi tiếng cũng có thể gặp phải những lỗi cơ bản. Nó nhắc nhở chúng ta rằng trong quá trình phát triển, các trường hợp thử nghiệm toàn diện và nhận thức cơ bản về an ninh là không thể thiếu. Mặc dù trong lĩnh vực DeFi, kiểm toán an ninh đã trở thành thực hành thông thường, nhưng trong các dự án tài sản số, bước này dường như vẫn bị bỏ qua. Khoản tổn thất khổng lồ lần này chính là hậu quả trực tiếp của việc thiếu kiểm toán an ninh.
Sự kiện này nên trở thành một lời cảnh tỉnh cho toàn ngành, nhắc nhở tất cả các bên tham gia chú trọng đến tính an toàn của hợp đồng thông minh, tăng cường quy trình kiểm tra và đánh giá mã để ngăn ngừa những tổn thất lớn tương tự xảy ra một lần nữa.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
3
Chia sẻ
Bình luận
0/400
shadowy_supercoder
· 47phút trước
Công ty kiểm toán làm gì?
Xem bản gốcTrả lời0
BlockchainWorker
· 15giờ trước
Hợp đồng thông minh lại gặp vấn đề? Ngồi chờ xem kịch.
Lỗ hổng hợp đồng thông minh của dự án sưu tầm kỹ thuật số nổi tiếng khiến 34 triệu USD bị khóa.
Gần đây, một dự án sưu tầm kỹ thuật số nổi tiếng đã được phát hiện có hai lỗ hổng nghiêm trọng trong hợp đồng thông minh, gây ra sự chú ý rộng rãi trong ngành. Đội ngũ an ninh đã phát hiện ra những rủi ro tiềm ẩn này khi phân tích hợp đồng của dự án.
Lỗ hổng đầu tiên liên quan đến cơ chế hoàn tiền. Hàm hoàn tiền trong hợp đồng sử dụng phương pháp vòng lặp để hoàn tiền cho người dùng, nhưng thiết kế này có một thiếu sót nghiêm trọng. Nếu địa chỉ nhận hoàn tiền là một hợp đồng độc hại, nó có thể từ chối nhận và dẫn đến giao dịch thất bại, từ đó ảnh hưởng đến quá trình hoàn tiền của tất cả người dùng khác. May mắn thay, lỗ hổng này chưa được khai thác thực tế.
Đối với những trường hợp như vậy, các chuyên gia an ninh khuyên các bên dự án có thể thực hiện các biện pháp sau để đảm bảo tính an toàn của việc hoàn tiền:
Lỗ hổng thứ hai là do một lỗi logic trong mã. Trong hàm rút tiền của dự án, có một câu lệnh điều kiện, đáng lẽ phải so sánh hai biến cụ thể, nhưng lại vô tình sử dụng một biến khác để so sánh. Điều này dẫn đến việc điều kiện không bao giờ được thỏa mãn, khiến cho bên dự án không thể rút tài sản trong hợp đồng. Ước tính hiện tại có hơn 34 triệu USD tài sản bị khóa vĩnh viễn trong hợp đồng.
Sự kiện này một lần nữa làm nổi bật rằng ngay cả những dự án nổi tiếng cũng có thể gặp phải những lỗi cơ bản. Nó nhắc nhở chúng ta rằng trong quá trình phát triển, các trường hợp thử nghiệm toàn diện và nhận thức cơ bản về an ninh là không thể thiếu. Mặc dù trong lĩnh vực DeFi, kiểm toán an ninh đã trở thành thực hành thông thường, nhưng trong các dự án tài sản số, bước này dường như vẫn bị bỏ qua. Khoản tổn thất khổng lồ lần này chính là hậu quả trực tiếp của việc thiếu kiểm toán an ninh.
Sự kiện này nên trở thành một lời cảnh tỉnh cho toàn ngành, nhắc nhở tất cả các bên tham gia chú trọng đến tính an toàn của hợp đồng thông minh, tăng cường quy trình kiểm tra và đánh giá mã để ngăn ngừa những tổn thất lớn tương tự xảy ra một lần nữa.