Nhóm BlockSec gần đây đã phát hiện hai lỗ hổng nghiêm trọng trong một hợp đồng tài sản số. Hợp đồng này nằm trên mạng Ethereum, trong đó một lỗ hổng có thể dẫn đến việc hợp đồng bị tấn công từ chối dịch vụ, khiến tài sản của người dùng bị khóa. May mắn thay, lỗ hổng này chưa bị khai thác. Lỗ hổng nghiêm trọng hơn đã dẫn đến việc hơn 34 triệu đô la dự án bị khóa vĩnh viễn trong hợp đồng, không thể rút ra.
Lỗ hổng đầu tiên nằm trong chức năng xử lý hoàn tiền. Chức năng này thực hiện hoàn tiền cho tất cả người dùng qua vòng lặp, nhưng nếu có người dùng là hợp đồng độc hại, họ có thể từ chối nhận hoàn tiền và dẫn đến việc giao dịch bị cuốn lại, từ đó ảnh hưởng đến hoạt động hoàn tiền của tất cả người dùng. Để tránh các vấn đề tương tự, nhóm dự án có thể xem xét các phương thức hoàn tiền an toàn sau đây:
Hạn chế chỉ có tài khoản người dùng thông thường mới có thể tham gia dự án
Sử dụng token dạng bọc thay vì token gốc
Thiết kế cơ chế để người dùng chủ động yêu cầu hoàn tiền, tránh hoàn tiền hàng loạt.
Lỗ hổng thứ hai là do một lỗi logic trong mã. Trong hàm rút tiền dự án, có một câu lệnh điều kiện, nhưng câu lệnh này so sánh sai biến. Điều này dẫn đến điều kiện không bao giờ được thỏa mãn, do đó, bên dự án không thể rút tiền trong hợp đồng. Hiện tại, hơn 34 triệu đô la tài sản đã bị khóa trong hợp đồng.
Sự kiện lần này một lần nữa làm nổi bật rằng ngay cả những dự án nổi tiếng cũng có thể mắc phải những sai sót cơ bản. Đội ngũ phát triển trong quá trình phát triển dự án cần phải viết đủ các trường hợp kiểm tra và có nhận thức cơ bản về an ninh. Mặc dù trong lĩnh vực tài chính phi tập trung, việc kiểm toán an ninh đã trở thành một thực tiễn thông thường, nhưng trong các dự án tài sản kỹ thuật số, việc kiểm toán an ninh dường như vẫn chưa được chú trọng đủ. Sự sơ suất này đã dẫn đến những tổn thất tài chính khổng lồ.
Sự kiện này nên gây sự chú ý trong ngành, nhắc nhở tất cả các nhà phát triển dự án blockchain chú trọng đến an toàn mã nguồn, tăng cường quy trình kiểm toán an ninh, nhằm ngăn ngừa các lỗ hổng tương tự xảy ra lần nữa. Đồng thời, nó cũng làm nổi bật tầm quan trọng của các đội ngũ an ninh chuyên nghiệp trong ngành công nghiệp blockchain đang phát triển nhanh chóng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
34 triệu đô la Mỹ bị khóa, lỗ hổng hợp đồng của tài sản kỹ thuật số gióng lên hồi chuông cảnh báo an ninh
Nhóm BlockSec gần đây đã phát hiện hai lỗ hổng nghiêm trọng trong một hợp đồng tài sản số. Hợp đồng này nằm trên mạng Ethereum, trong đó một lỗ hổng có thể dẫn đến việc hợp đồng bị tấn công từ chối dịch vụ, khiến tài sản của người dùng bị khóa. May mắn thay, lỗ hổng này chưa bị khai thác. Lỗ hổng nghiêm trọng hơn đã dẫn đến việc hơn 34 triệu đô la dự án bị khóa vĩnh viễn trong hợp đồng, không thể rút ra.
Lỗ hổng đầu tiên nằm trong chức năng xử lý hoàn tiền. Chức năng này thực hiện hoàn tiền cho tất cả người dùng qua vòng lặp, nhưng nếu có người dùng là hợp đồng độc hại, họ có thể từ chối nhận hoàn tiền và dẫn đến việc giao dịch bị cuốn lại, từ đó ảnh hưởng đến hoạt động hoàn tiền của tất cả người dùng. Để tránh các vấn đề tương tự, nhóm dự án có thể xem xét các phương thức hoàn tiền an toàn sau đây:
Lỗ hổng thứ hai là do một lỗi logic trong mã. Trong hàm rút tiền dự án, có một câu lệnh điều kiện, nhưng câu lệnh này so sánh sai biến. Điều này dẫn đến điều kiện không bao giờ được thỏa mãn, do đó, bên dự án không thể rút tiền trong hợp đồng. Hiện tại, hơn 34 triệu đô la tài sản đã bị khóa trong hợp đồng.
Sự kiện lần này một lần nữa làm nổi bật rằng ngay cả những dự án nổi tiếng cũng có thể mắc phải những sai sót cơ bản. Đội ngũ phát triển trong quá trình phát triển dự án cần phải viết đủ các trường hợp kiểm tra và có nhận thức cơ bản về an ninh. Mặc dù trong lĩnh vực tài chính phi tập trung, việc kiểm toán an ninh đã trở thành một thực tiễn thông thường, nhưng trong các dự án tài sản kỹ thuật số, việc kiểm toán an ninh dường như vẫn chưa được chú trọng đủ. Sự sơ suất này đã dẫn đến những tổn thất tài chính khổng lồ.
Sự kiện này nên gây sự chú ý trong ngành, nhắc nhở tất cả các nhà phát triển dự án blockchain chú trọng đến an toàn mã nguồn, tăng cường quy trình kiểm toán an ninh, nhằm ngăn ngừa các lỗ hổng tương tự xảy ra lần nữa. Đồng thời, nó cũng làm nổi bật tầm quan trọng của các đội ngũ an ninh chuyên nghiệp trong ngành công nghiệp blockchain đang phát triển nhanh chóng.