Vừa mới phát hiện một cảnh báo an ninh quan trọng đáng chú ý. GoPlus Security đã công bố phân tích về một lỗ hổng nghiêm trọng trong hợp đồng Vault Staking Thanh khoản của ListaDAO dẫn đến việc mất mát lớn về quỹ. Những gì xảy ra ở đây khá thú vị về mặt kỹ thuật - kẻ tấn công khai thác lỗ hổng logic kinh doanh bằng cách kích hoạt các chức năng tính toán cổ phần trong quá trình chuyển token, điều này sau đó làm gián đoạn cơ chế nhận thưởng trong vault staking. Cơ bản, lỗ hổng nằm ở cách hợp đồng Dividend xử lý các phép tính khi các hoạt động staking gần đó tương tác với logic cốt lõi của vault.

Điều làm cho vấn đề này đặc biệt đáng lo ngại là đây không chỉ là vấn đề của ListaDAO. GoPlus Security đã cảnh báo rằng cùng một lỗ hổng logic tồn tại trên cả hợp đồng Vault Staking Thanh khoản và Dividend, có nghĩa là bất kỳ dự án nào fork hoặc tái sử dụng mã này đều đang đứng trên một quả bom hẹn giờ. Chúng ta đã thấy các mô hình tương tự trước đây, nơi một lỗ hổng lan rộng qua nhiều giao thức staking gần.

Đội ngũ an ninh nói rằng các nhà phát triển và dự án cần phải xem xét và vá lỗi này một cách khẩn cấp. Thật sự, đây là một lời nhắc nhở chắc chắn rằng an ninh hợp đồng thông minh không thể chỉ là một bước kiểm tra một lần. Một cuộc kiểm tra duy nhất không đủ. Cơ sở hạ tầng staking gần đặc biệt cần theo dõi liên tục và đánh giá lại khi điều kiện thị trường và các phương thức tấn công thay đổi. Không gian staking gần đã phát triển quá nhanh đến mức nhiều dự án vội vàng triển khai mà không có khung an ninh phù hợp.

Đối với bất kỳ ai xây dựng hoặc kiểm tra các giải pháp staking gần, đây là một lời cảnh tỉnh. Những lỗ hổng logic này rất tinh vi - chúng không xuất hiện trong các đánh giá mã cơ bản. Bạn cần phân tích sâu về giao thức và kiểm tra căng thẳng. Nếu bạn tham gia vào bất kỳ dự án vault staking nào, tôi khuyên bạn nên thực hiện một cuộc kiểm tra an ninh kỹ lưỡng ngay bây giờ thay vì chờ đợi vụ khai thác tiếp theo xuất hiện trên tin tức.