Dijital koleksiyon projesi sözleşmesinde ciddi bir açık mevcut, 34 milyon dolar fon kalıcı olarak kilitlenmiş durumda.

Son günlerde, büyük bir ilgi gören bir dijital koleksiyon projesinin sözleşmesinde iki ciddi açık bulundu. Güvenlik ekibi, bu sözleşmeyi incelerken, bu açıkların kullanıcı varlıklarının kilitlenmesine ve proje ekibinin 34 milyon dolardan fazla fonu çekememesine neden olabileceğini keşfetti.

İlk açık, geri ödeme işlevini ilgilendiriyor. Sözleşmedeki geri ödeme prosedürü, tüm kullanıcılar için geri ödeme yapmak üzere döngüsel bir yöntem kullanıyor. Ancak, eğer bir kullanıcı adresi kötü niyetli bir sözleşme ise, geri ödemeyi kabul etmeyi reddedebilir ve bu da işlemin başarısız olmasına neden olur, dolayısıyla tüm kullanıcıların geri ödeme işlemlerini etkileyebilir. Neyse ki, bu açık gerçekte kullanılmamıştır.

Benzer sorunların önlenmesi için, Proje Ekibi'nin geri ödeme mekanizmasını tasarlarken aşağıdaki noktaları dikkate alması önerilir:

1. Sadece normal kullanıcı hesaplarının projeye katılmasına izin verilir.
2. Yerel varlıkların yerine WETH gibi ERC20 token'ları kullanın
3. Kullanıcılara geri ödeme talep etme işlevini kendileri tasarlama imkanı sunun, toplu işleme değil.

İkinci açık, kodda bir mantık hatasından kaynaklanmaktadır. Proje fonlarını çekme fonksiyonu içinde, iki belirli değişkeni karşılaştırması gereken bir koşul ifadesi bulunmaktadır, ancak başka bir değişkenin yanlışlıkla karşılaştırılması kullanılmıştır. Bu, koşulun asla karşılanamamasına neden oldu ve proje ekibi sözleşmedeki fonları çekemedi. Şu anda, yaklaşık 34 milyon dolarlık varlık sözleşmede kalıcı olarak kilitlenmiştir.

Bu olay, tanınmış projelerin bile basit hatalar yapabileceğini bir kez daha gözler önüne serdi. Proje ekibi, proje geliştirme sürecinde yeterli test senaryoları yazmalı ve temel güvenlik bilincini geliştirmelidir. Merkeziyetsiz finans alanında güvenlik denetimi artık rutin bir uygulama haline gelmiş olsa da, dijital koleksiyon projelerinde bu aşama genellikle göz ardı edilmektedir ve bu da nihayetinde büyük kayıplara yol açmaktadır.

Bu olay, blockchain projelerinin geliştirilmesinde, projenin büyüklüğü ne olursa olsun, güvenlik denetimi çalışmalarının önemini vurgulamaktadır; çünkü ciddi sonuçlara yol açabilecek açıkların önlenmesi gerekmektedir. Aynı zamanda, akıllı sözleşme geliştirmede detayların önemini de ortaya koymaktadır; küçük bir kod hatası milyonlarca dolarlık kayıplara yol açabilir.