اكتشف فريق BlockSec مؤخرًا ثغرتين كبيرتين في عقد تحصيل رقمي. يقع هذا العقد على شبكة إثيريوم، حيث قد تؤدي إحدى الثغرات إلى تعرض العقد لهجوم حجب الخدمة، مما يؤدي إلى قفل أصول المستخدمين. لحسن الحظ، لم يتم استغلال هذه الثغرة. أما الثغرة الأكثر خطورة فقد أدت إلى قفل أكثر من 34 مليون دولار من أموال المشروع بشكل دائم في العقد، مما يجعل من المستحيل سحبها.
الثغرة الأولى موجودة في دالة معالجة رد الأموال. تقوم هذه الدالة بإجراء رد الأموال لكل المستخدمين عبر حلقة، ولكن إذا كان هناك مستخدم لعقد خبيث، فقد يرفض استلام رد الأموال مما يؤدي إلى تراجع المعاملة، وبالتالي يؤثر على عمليات رد الأموال لجميع المستخدمين. لتجنب مشاكل مماثلة، يُنصح بأن يفكر الفريق في طرق رد أموال آمنة كما يلي:
يقتصر على حسابات المستخدمين العاديين للمشاركة في المشروع
استخدام الرموز المغلفة بدلاً من الرموز الأصلية
تصميم آلية للمستخدمين لاسترداد الأموال بشكل نشط، لتجنب الاسترداد الجماعي
!
الثغرة الثانية ناتجة عن خطأ منطقي في الكود. في دالة استخراج أموال المشروع، يوجد عبارة شرطية، ولكن هذه العبارة تقارن متغير خاطئ. هذا أدى إلى عدم إمكانية تحقيق الشرط أبدًا، وبالتالي لا يمكن لفريق المشروع استخراج الأموال من العقد. حاليًا، تم قفل أكثر من 34 مليون دولار من الأصول في العقد.
!
تسلط هذه الحادثة الضوء مرة أخرى على أن المشاريع المعروفة يمكن أن تواجه أخطاء أساسية. يحتاج فريق التطوير إلى كتابة مجموعة كافية من حالات الاختبار أثناء عملية تطوير المشروع، ويجب أن يتمتع بالوعي الأساسي بالأمان. على الرغم من أن تدقيق الأمان قد أصبح ممارسة روتينية في مجال التمويل اللامركزي، إلا أن تدقيق الأمان يبدو أنه لا يحظى بالاهتمام الكافي في مشاريع المقتنيات الرقمية. هذه الإغفالات أدت مباشرة إلى خسائر مالية ضخمة.
يجب أن تثير هذه الحادثة انتباه الصناعة، وتذكير جميع مطوري مشاريع البلوك تشين بأهمية أمان الشيفرة، وتعزيز عمليات تدقيق الأمان، لمنع حدوث ثغرات مماثلة مرة أخرى. في الوقت نفسه، يبرز أيضًا أهمية الفرق الأمنية المتخصصة في صناعة البلوك تشين سريعة التطور.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تم قفل 34 مليون دولار ، وتسبب ثغرة في عقد المقتنيات الرقمية في دق ناقوس الخطر الأمني.
اكتشف فريق BlockSec مؤخرًا ثغرتين كبيرتين في عقد تحصيل رقمي. يقع هذا العقد على شبكة إثيريوم، حيث قد تؤدي إحدى الثغرات إلى تعرض العقد لهجوم حجب الخدمة، مما يؤدي إلى قفل أصول المستخدمين. لحسن الحظ، لم يتم استغلال هذه الثغرة. أما الثغرة الأكثر خطورة فقد أدت إلى قفل أكثر من 34 مليون دولار من أموال المشروع بشكل دائم في العقد، مما يجعل من المستحيل سحبها.
الثغرة الأولى موجودة في دالة معالجة رد الأموال. تقوم هذه الدالة بإجراء رد الأموال لكل المستخدمين عبر حلقة، ولكن إذا كان هناك مستخدم لعقد خبيث، فقد يرفض استلام رد الأموال مما يؤدي إلى تراجع المعاملة، وبالتالي يؤثر على عمليات رد الأموال لجميع المستخدمين. لتجنب مشاكل مماثلة، يُنصح بأن يفكر الفريق في طرق رد أموال آمنة كما يلي:
!
الثغرة الثانية ناتجة عن خطأ منطقي في الكود. في دالة استخراج أموال المشروع، يوجد عبارة شرطية، ولكن هذه العبارة تقارن متغير خاطئ. هذا أدى إلى عدم إمكانية تحقيق الشرط أبدًا، وبالتالي لا يمكن لفريق المشروع استخراج الأموال من العقد. حاليًا، تم قفل أكثر من 34 مليون دولار من الأصول في العقد.
!
تسلط هذه الحادثة الضوء مرة أخرى على أن المشاريع المعروفة يمكن أن تواجه أخطاء أساسية. يحتاج فريق التطوير إلى كتابة مجموعة كافية من حالات الاختبار أثناء عملية تطوير المشروع، ويجب أن يتمتع بالوعي الأساسي بالأمان. على الرغم من أن تدقيق الأمان قد أصبح ممارسة روتينية في مجال التمويل اللامركزي، إلا أن تدقيق الأمان يبدو أنه لا يحظى بالاهتمام الكافي في مشاريع المقتنيات الرقمية. هذه الإغفالات أدت مباشرة إلى خسائر مالية ضخمة.
يجب أن تثير هذه الحادثة انتباه الصناعة، وتذكير جميع مطوري مشاريع البلوك تشين بأهمية أمان الشيفرة، وتعزيز عمليات تدقيق الأمان، لمنع حدوث ثغرات مماثلة مرة أخرى. في الوقت نفسه، يبرز أيضًا أهمية الفرق الأمنية المتخصصة في صناعة البلوك تشين سريعة التطور.
!