Vulnerabilidade em contratos de colecionáveis digitais resulta em 34 milhões de dólares em ativos bloqueados. Especialistas alertam para a importância da auditoria de segurança.
Recentemente, uma empresa de segurança descobriu que um contrato de colecionáveis digitais possui duas vulnerabilidades graves, que podem resultar no bloqueio dos ativos dos usuários ou na impossibilidade de a equipa do projeto retirar fundos.
A primeira vulnerabilidade está na função de processamento de reembolsos. Esta função usa um loop para reembolsar todos os usuários, mas se o objeto de reembolso for um contrato malicioso, pode recusar-se a receber e causar a falha da transação, afetando assim as operações de reembolso de todos os usuários. Felizmente, essa vulnerabilidade não foi explorada.
Para cenários semelhantes a reembolsos, os especialistas recomendam as seguintes medidas de segurança:
A participação no projeto é restrita apenas a contas de utilizador comuns.
Usar tokens (como WETH) em vez de ativos nativos
Criar um mecanismo que permita aos usuários solicitar reembolsos ativamente, evitando reembolsos em massa
O segundo erro é um erro de código. Na função de extração de fundos da equipa do projeto, existe um bug na verificação de condição. Esta verificação deveria comparar o progresso do reembolso com o índice da licitação, mas erradamente compara com o número total de licitações. Como o progresso do reembolso é sempre inferior ao número total de licitações e não aumenta mais, a condição nunca é satisfeita, e os fundos da equipa do projeto ficam permanentemente bloqueados no contrato. Atualmente, mais de 34 milhões de dólares em ativos estão bloqueados.
Este incidente destaca novamente a importância da segurança do projeto. Mesmo projetos conhecidos podem cometer erros básicos. A equipa de desenvolvimento precisa de escrever casos de teste adequados e cultivar uma consciência básica de segurança. Embora na área das finanças descentralizadas a auditoria de segurança tenha se tornado uma prática comum, ainda existem lacunas nos projetos de colecionáveis digitais, e este incidente resultou em perdas significativas.
Este evento lembra-nos que, independentemente da escala do projeto, devemos valorizar a segurança dos contratos inteligentes e realizar auditorias de segurança completas para evitar a ocorrência de problemas semelhantes.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
12 gostos
Recompensa
12
8
Republicar
Partilhar
Comentar
0/400
AirdropBlackHole
· 8h atrás
Isto é a mais forte técnica para fazer as pessoas de parvas.
Ver originalResponder0
QuorumVoter
· 22h atrás
O velho engenheiro olhou e exclamou que era um especialista.
Ver originalResponder0
ShadowStaker
· 23h atrás
exemplo clássico de má arquitetura de governança smh...
Ver originalResponder0
MevTears
· 23h atrás
Acidentes de contratos tornaram-se algo comum.
Ver originalResponder0
CryptoPunster
· 23h atrás
A segurança do mendigo entre mendigos Tudo em tudo depende da sorte
Ver originalResponder0
AirdropCollector
· 23h atrás
Perda de corte corre bem, nem o capital consegue recuperar.
Ver originalResponder0
BearMarketSurvivor
· 23h atrás
Nem sequer sabem programar, ainda se atrevem a brincar com contratos inteligentes!
Ver originalResponder0
HalfIsEmpty
· 23h atrás
Mais uma vez, a falta de fiscalização prejudica a todos.
Vulnerabilidade em contratos de colecionáveis digitais resulta em 34 milhões de dólares em ativos bloqueados. Especialistas alertam para a importância da auditoria de segurança.
Recentemente, uma empresa de segurança descobriu que um contrato de colecionáveis digitais possui duas vulnerabilidades graves, que podem resultar no bloqueio dos ativos dos usuários ou na impossibilidade de a equipa do projeto retirar fundos.
A primeira vulnerabilidade está na função de processamento de reembolsos. Esta função usa um loop para reembolsar todos os usuários, mas se o objeto de reembolso for um contrato malicioso, pode recusar-se a receber e causar a falha da transação, afetando assim as operações de reembolso de todos os usuários. Felizmente, essa vulnerabilidade não foi explorada.
Para cenários semelhantes a reembolsos, os especialistas recomendam as seguintes medidas de segurança:
O segundo erro é um erro de código. Na função de extração de fundos da equipa do projeto, existe um bug na verificação de condição. Esta verificação deveria comparar o progresso do reembolso com o índice da licitação, mas erradamente compara com o número total de licitações. Como o progresso do reembolso é sempre inferior ao número total de licitações e não aumenta mais, a condição nunca é satisfeita, e os fundos da equipa do projeto ficam permanentemente bloqueados no contrato. Atualmente, mais de 34 milhões de dólares em ativos estão bloqueados.
Este incidente destaca novamente a importância da segurança do projeto. Mesmo projetos conhecidos podem cometer erros básicos. A equipa de desenvolvimento precisa de escrever casos de teste adequados e cultivar uma consciência básica de segurança. Embora na área das finanças descentralizadas a auditoria de segurança tenha se tornado uma prática comum, ainda existem lacunas nos projetos de colecionáveis digitais, e este incidente resultou em perdas significativas.
Este evento lembra-nos que, independentemente da escala do projeto, devemos valorizar a segurança dos contratos inteligentes e realizar auditorias de segurança completas para evitar a ocorrência de problemas semelhantes.