Fuga de contrato de coleccionables digitales causa bloqueo de activos por 34 millones de dólares, expertos advierten sobre la importancia de la auditoría de seguridad.
Recientemente, una empresa de seguridad descubrió dos graves vulnerabilidades en un contrato de coleccionables digitales, que podrían llevar a que los activos de los usuarios quedaran bloqueados o que el equipo detrás del proyecto no pudiera retirar fondos.
La primera vulnerabilidad se encuentra en la función de procesamiento de reembolsos. Esta función utiliza un bucle para reembolsar a todos los usuarios, pero si el objeto de reembolso es un contrato malicioso, puede rechazar la recepción y provocar que la transacción falle, afectando así la operación de reembolso de todos los usuarios. Afortunadamente, esta vulnerabilidad no ha sido explotada.
Para escenarios de reembolso similares, los expertos sugieren tomar las siguientes medidas de seguridad:
La restricción es que solo las cuentas de usuarios normales pueden participar en el proyecto.
Utilizar tokens (como WETH) en lugar de activos nativos
Diseñar un mecanismo para que los usuarios soliciten activamente el reembolso, evitando reembolsos masivos.
El segundo fallo es un error de código. En la función que permite al equipo detrás del proyecto retirar fondos, hay un bug en la condición de comparación. Esta comparación debería comparar el progreso de reembolso con el índice de la oferta, pero erróneamente se compara con el total de ofertas. Dado que el progreso de reembolso siempre es menor que el total de ofertas, y no aumenta más, la condición nunca se cumple, lo que causa que los fondos del equipo detrás del proyecto queden permanentemente bloqueados en el contrato. Actualmente, más de 34 millones de dólares en activos están bloqueados.
Este evento destaca nuevamente la importancia de la seguridad en los proyectos. Incluso los proyectos conocidos pueden cometer errores básicos. El equipo detrás del proyecto necesita escribir suficientes casos de prueba y cultivar una conciencia básica de seguridad. Aunque en el ámbito de las finanzas descentralizadas, las auditorías de seguridad se han vuelto prácticas comunes, en los proyectos de coleccionables digitales aún hay deficiencias, y este evento ha causado pérdidas enormes.
Este evento nos recuerda que, independientemente del tamaño del proyecto, debemos dar importancia a la seguridad de los contratos inteligentes y realizar auditorías de seguridad exhaustivas para prevenir la ocurrencia de problemas similares.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
12 me gusta
Recompensa
12
8
Republicar
Compartir
Comentar
0/400
AirdropBlackHole
· hace8h
Esta es la mejor forma de tomar a la gente por tonta.
Ver originalesResponder0
QuorumVoter
· hace22h
El viejo ingeniero no pudo evitar exclamar que es un experto.
Ver originalesResponder0
ShadowStaker
· hace22h
ejemplo clásico de mala arquitectura de gobernanza smh...
Ver originalesResponder0
MevTears
· hace22h
Los accidentes de contratos se han vuelto algo habitual.
Ver originalesResponder0
CryptoPunster
· hace22h
Gánster de gánster seguro Todo dentro depende de la suerte
Ver originalesResponder0
AirdropCollector
· hace22h
Reducir pérdidas corre bien, ni siquiera puedo recuperar mi inversión.
Ver originalesResponder0
BearMarketSurvivor
· hace23h
¡No saben escribir código y aún se atreven a jugar con contratos inteligentes!
Ver originalesResponder0
HalfIsEmpty
· hace23h
Una vez más, la falta de inspección perjudica a uno mismo y a los demás.
Fuga de contrato de coleccionables digitales causa bloqueo de activos por 34 millones de dólares, expertos advierten sobre la importancia de la auditoría de seguridad.
Recientemente, una empresa de seguridad descubrió dos graves vulnerabilidades en un contrato de coleccionables digitales, que podrían llevar a que los activos de los usuarios quedaran bloqueados o que el equipo detrás del proyecto no pudiera retirar fondos.
La primera vulnerabilidad se encuentra en la función de procesamiento de reembolsos. Esta función utiliza un bucle para reembolsar a todos los usuarios, pero si el objeto de reembolso es un contrato malicioso, puede rechazar la recepción y provocar que la transacción falle, afectando así la operación de reembolso de todos los usuarios. Afortunadamente, esta vulnerabilidad no ha sido explotada.
Para escenarios de reembolso similares, los expertos sugieren tomar las siguientes medidas de seguridad:
El segundo fallo es un error de código. En la función que permite al equipo detrás del proyecto retirar fondos, hay un bug en la condición de comparación. Esta comparación debería comparar el progreso de reembolso con el índice de la oferta, pero erróneamente se compara con el total de ofertas. Dado que el progreso de reembolso siempre es menor que el total de ofertas, y no aumenta más, la condición nunca se cumple, lo que causa que los fondos del equipo detrás del proyecto queden permanentemente bloqueados en el contrato. Actualmente, más de 34 millones de dólares en activos están bloqueados.
Este evento destaca nuevamente la importancia de la seguridad en los proyectos. Incluso los proyectos conocidos pueden cometer errores básicos. El equipo detrás del proyecto necesita escribir suficientes casos de prueba y cultivar una conciencia básica de seguridad. Aunque en el ámbito de las finanzas descentralizadas, las auditorías de seguridad se han vuelto prácticas comunes, en los proyectos de coleccionables digitales aún hay deficiencias, y este evento ha causado pérdidas enormes.
Este evento nos recuerda que, independientemente del tamaño del proyecto, debemos dar importancia a la seguridad de los contratos inteligentes y realizar auditorías de seguridad exhaustivas para prevenir la ocurrencia de problemas similares.