Une vulnérabilité dans le contrat de collection numérique a entraîné le blocage d'actifs d'une valeur de 34 millions de dollars. Les experts rappellent l'importance d'audits de sécurité.
Récemment, une société de sécurité a découvert que certains contrats de biens numériques présentaient deux vulnérabilités graves, qui pourraient entraîner le blocage des actifs des utilisateurs ou l'incapacité pour le projet de fête de retirer des fonds.
Le premier défaut se situe dans la fonction de traitement des remboursements. Cette fonction utilise une boucle pour rembourser tous les utilisateurs, mais si l'objet de remboursement est un contrat malveillant, il peut refuser de recevoir et entraîner l'échec de la transaction, affectant ainsi les opérations de remboursement de tous les utilisateurs. Heureusement, ce défaut n'a pas été exploité.
Pour des scénarios similaires de remboursement, les experts recommandent de prendre les mesures de sécurité suivantes :
La restriction ne permet la participation au projet qu'aux comptes d'utilisateurs ordinaires.
Utiliser des jetons (comme WETH) à la place des actifs natifs
Concevoir un mécanisme permettant aux utilisateurs de demander activement un remboursement, afin d'éviter les remboursements en masse.
Le deuxième exploit est une erreur de code. Dans la fonction de retrait de fonds du projet de fête, il existe un bug de condition. Cette condition devrait comparer l'avancement des remboursements et l'index des enchères, mais elle est incorrectement comparée au nombre total d'enchères. Étant donné que l'avancement des remboursements est toujours inférieur au nombre total d'enchères et n'augmente plus, la condition n'est jamais satisfaite, et les fonds du projet de fête sont donc définitivement verrouillés dans le contrat. Actuellement, plus de 34 millions de dollars d'actifs sont bloqués.
Cet incident met une fois de plus en évidence l'importance de la sécurité des projets. Même les projets bien connus peuvent rencontrer des erreurs basiques. Les équipes de développement doivent rédiger des cas de test appropriés et cultiver une conscience de la sécurité de base. Bien que l'audit de sécurité soit devenu une pratique courante dans le domaine de la finance décentralisée, il existe encore des lacunes dans les projets de collections numériques, et cet incident a entraîné d'énormes pertes.
Cet événement nous rappelle que, quelle que soit l'échelle du projet, il est essentiel de prêter attention à la sécurité des contrats intelligents et de procéder à un audit de sécurité complet pour prévenir la survenance de problèmes similaires.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
12 J'aime
Récompense
12
8
Reposter
Partager
Commentaire
0/400
AirdropBlackHole
· Il y a 8h
C'est la meilleure méthode pour se faire prendre pour des cons.
Voir l'originalRépondre0
QuorumVoter
· Il y a 22h
Le vieux ingénieur a été impressionné et a dit que c'était du vrai travail de pro.
Voir l'originalRépondre0
ShadowStaker
· Il y a 23h
exemple classique de mauvaise architecture de gouvernance smh...
Voir l'originalRépondre0
MevTears
· Il y a 23h
Les accidents de contrat sont devenus monnaie courante.
Voir l'originalRépondre0
CryptoPunster
· Il y a 23h
Mendiant parmi les mendiants, All in dépend entièrement de la chance.
Voir l'originalRépondre0
AirdropCollector
· Il y a 23h
Cut Loss court bien, même le capital ne peut pas être récupéré.
Voir l'originalRépondre0
BearMarketSurvivor
· Il y a 23h
Vous ne savez même pas coder, et vous osez jouer avec des smart contracts !
Voir l'originalRépondre0
HalfIsEmpty
· Il y a 23h
Encore une fois, un contrôle insuffisant nuit à soi-même et aux autres.
Une vulnérabilité dans le contrat de collection numérique a entraîné le blocage d'actifs d'une valeur de 34 millions de dollars. Les experts rappellent l'importance d'audits de sécurité.
Récemment, une société de sécurité a découvert que certains contrats de biens numériques présentaient deux vulnérabilités graves, qui pourraient entraîner le blocage des actifs des utilisateurs ou l'incapacité pour le projet de fête de retirer des fonds.
Le premier défaut se situe dans la fonction de traitement des remboursements. Cette fonction utilise une boucle pour rembourser tous les utilisateurs, mais si l'objet de remboursement est un contrat malveillant, il peut refuser de recevoir et entraîner l'échec de la transaction, affectant ainsi les opérations de remboursement de tous les utilisateurs. Heureusement, ce défaut n'a pas été exploité.
Pour des scénarios similaires de remboursement, les experts recommandent de prendre les mesures de sécurité suivantes :
Le deuxième exploit est une erreur de code. Dans la fonction de retrait de fonds du projet de fête, il existe un bug de condition. Cette condition devrait comparer l'avancement des remboursements et l'index des enchères, mais elle est incorrectement comparée au nombre total d'enchères. Étant donné que l'avancement des remboursements est toujours inférieur au nombre total d'enchères et n'augmente plus, la condition n'est jamais satisfaite, et les fonds du projet de fête sont donc définitivement verrouillés dans le contrat. Actuellement, plus de 34 millions de dollars d'actifs sont bloqués.
Cet incident met une fois de plus en évidence l'importance de la sécurité des projets. Même les projets bien connus peuvent rencontrer des erreurs basiques. Les équipes de développement doivent rédiger des cas de test appropriés et cultiver une conscience de la sécurité de base. Bien que l'audit de sécurité soit devenu une pratique courante dans le domaine de la finance décentralisée, il existe encore des lacunes dans les projets de collections numériques, et cet incident a entraîné d'énormes pertes.
Cet événement nous rappelle que, quelle que soit l'échelle du projet, il est essentiel de prêter attention à la sécurité des contrats intelligents et de procéder à un audit de sécurité complet pour prévenir la survenance de problèmes similaires.