BlockSec ekibi, son zamanlarda bir dijital koleksiyon sözleşmesinde bulunan iki önemli açığı keşfetti. Bu sözleşme Ethereum ağında yer alıyor ve bu açılardan biri sözleşmenin hizmet reddi saldırısına uğramasına neden olabilir ve kullanıcı varlıklarının kilitlenmesine yol açabilir. Neyse ki, bu açık kullanılmamış. Diğer daha ciddi açık ise, 34 milyon dolardan fazla proje fonunun sözleşmede kalıcı olarak kilitlenmesine neden oldu ve geri alınamaz.
İlk güvenlik açığı, geri ödeme işleme fonksiyonundadır. Bu fonksiyon, tüm kullanıcılar için geri ödeme yapmak üzere bir döngü aracılığıyla çalışır, ancak eğer döngüde kötü niyetli bir sözleşme kullanıcısı varsa, geri ödemeyi kabul etmeyebilir ve bu da işlemin geri alınmasına neden olarak tüm kullanıcıların geri ödeme işlemlerini etkileyebilir. Benzer sorunların önlenmesi için, proje sahiplerinin aşağıdaki güvenli geri ödeme yöntemlerini göz önünde bulundurması önerilir:
Sadece normal kullanıcı hesaplarının projeye katılmasına izin verilir.
Yerel token yerine paketlenmiş token kullanın
Kullanıcıların aktif olarak geri ödeme almasını sağlayacak bir mekanizma tasarlayın, toplu geri ödemeleri önleyin.
İkinci açık, koddaki bir mantık hatasından kaynaklanmaktadır. Proje fonlarını çekme işlevinde, yanlış bir değişkeni karşılaştıran bir koşul ifadesi vardır. Bu, koşulun asla sağlanamamasına neden olur ve proje ekibi, sözleşmedeki fonları çekemez. Şu anda, 34 milyon dolardan fazla varlık sözleşmede kilitlenmiştir.
Bu olay, tanınmış projelerin bile temel hatalarla karşılaşabileceğini bir kez daha vurguladı. Geliştirme ekibinin proje geliştirme sürecinde yeterli test vakaları yazması ve temel güvenlik bilincine sahip olması gerekmektedir. Merkeziyetsiz finans alanında güvenlik denetimi standart bir uygulama haline gelmiş olsa da, dijital koleksiyon projelerinde güvenlik denetimi henüz yeterince önemsenmiyor gibi görünüyor. Bu ihmal, doğrudan büyük miktarda fon kaybına yol açtı.
Bu olay, sektörde dikkat çekmeli ve tüm blockchain proje geliştiricilerini kod güvenliğine önem vermeye, güvenlik denetim süreçlerini güçlendirmeye ve benzer açıkların yeniden meydana gelmesini önlemeye teşvik etmelidir. Aynı zamanda, hızlı gelişen blockchain endüstrisinde profesyonel güvenlik ekiplerinin önemini de vurgulamaktadır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
34 milyon dolar kilitlendi Dijital koleksiyon sözleşmesi açığı güvenlik alarmı çaldı
BlockSec ekibi, son zamanlarda bir dijital koleksiyon sözleşmesinde bulunan iki önemli açığı keşfetti. Bu sözleşme Ethereum ağında yer alıyor ve bu açılardan biri sözleşmenin hizmet reddi saldırısına uğramasına neden olabilir ve kullanıcı varlıklarının kilitlenmesine yol açabilir. Neyse ki, bu açık kullanılmamış. Diğer daha ciddi açık ise, 34 milyon dolardan fazla proje fonunun sözleşmede kalıcı olarak kilitlenmesine neden oldu ve geri alınamaz.
İlk güvenlik açığı, geri ödeme işleme fonksiyonundadır. Bu fonksiyon, tüm kullanıcılar için geri ödeme yapmak üzere bir döngü aracılığıyla çalışır, ancak eğer döngüde kötü niyetli bir sözleşme kullanıcısı varsa, geri ödemeyi kabul etmeyebilir ve bu da işlemin geri alınmasına neden olarak tüm kullanıcıların geri ödeme işlemlerini etkileyebilir. Benzer sorunların önlenmesi için, proje sahiplerinin aşağıdaki güvenli geri ödeme yöntemlerini göz önünde bulundurması önerilir:
İkinci açık, koddaki bir mantık hatasından kaynaklanmaktadır. Proje fonlarını çekme işlevinde, yanlış bir değişkeni karşılaştıran bir koşul ifadesi vardır. Bu, koşulun asla sağlanamamasına neden olur ve proje ekibi, sözleşmedeki fonları çekemez. Şu anda, 34 milyon dolardan fazla varlık sözleşmede kilitlenmiştir.
Bu olay, tanınmış projelerin bile temel hatalarla karşılaşabileceğini bir kez daha vurguladı. Geliştirme ekibinin proje geliştirme sürecinde yeterli test vakaları yazması ve temel güvenlik bilincine sahip olması gerekmektedir. Merkeziyetsiz finans alanında güvenlik denetimi standart bir uygulama haline gelmiş olsa da, dijital koleksiyon projelerinde güvenlik denetimi henüz yeterince önemsenmiyor gibi görünüyor. Bu ihmal, doğrudan büyük miktarda fon kaybına yol açtı.
Bu olay, sektörde dikkat çekmeli ve tüm blockchain proje geliştiricilerini kod güvenliğine önem vermeye, güvenlik denetim süreçlerini güçlendirmeye ve benzer açıkların yeniden meydana gelmesini önlemeye teşvik etmelidir. Aynı zamanda, hızlı gelişen blockchain endüstrisinde profesyonel güvenlik ekiplerinin önemini de vurgulamaktadır.