BlockSec realizó recientemente una auditoría de seguridad en un contrato de un activo digital y descubrió dos vulnerabilidades graves. Estas vulnerabilidades podrían resultar en el bloqueo de los activos de los usuarios y en graves consecuencias como la incapacidad del equipo detrás del proyecto para retirar fondos.
La primera vulnerabilidad existe en la función de procesamiento de reembolsos. Esta función utiliza un método de bucle para reembolsar a todos los usuarios, pero si algún usuario es un contrato malicioso, podría rechazar recibir el reembolso y terminar la transacción, lo que haría que la operación de reembolso de todos los usuarios fallara. Afortunadamente, esta vulnerabilidad aún no ha sido explotada.
Para evitar problemas similares, se sugiere que el equipo detrás del proyecto tome las siguientes medidas de seguridad:
La restricción es que solo las cuentas de usuarios individuales pueden participar en el proyecto.
Utilizar tokens ERC20 en lugar de activos nativos
Diseñar un mecanismo que permita a los usuarios solicitar reembolsos de manera activa, en lugar de realizar reembolsos masivos.
La segunda vulnerabilidad se debe a un error de codificación. En la función de extracción de fondos del proyecto, una declaración condicional presenta un error lógico, lo que impide que el equipo detrás del proyecto extraiga los fondos del contrato. Actualmente, más de 34 millones de dólares en activos están permanentemente bloqueados en el contrato.
Esto vuelve a resaltar la importancia de las pruebas exhaustivas y las auditorías de seguridad en el proceso de desarrollo del proyecto. Aunque en el ámbito DeFi, la auditoría de seguridad se ha convertido en una práctica común, en los proyectos de coleccionables digitales, este paso a menudo se pasa por alto, lo que resulta en pérdidas enormes.
El equipo detrás del proyecto debe escribir suficientes casos de prueba durante el proceso de desarrollo y cultivar una conciencia básica de seguridad. Al mismo tiempo, para proyectos de coleccionables digitales de alto valor, también es muy necesario realizar auditorías de seguridad profesionales para evitar que ocurran pérdidas importantes similares nuevamente.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
12 me gusta
Recompensa
12
5
Republicar
Compartir
Comentar
0/400
LonelyAnchorman
· 08-14 17:39
Otra oportunidad de cupones de clip se me escapó.
Ver originalesResponder0
CryptoFortuneTeller
· 08-12 13:10
Ya que estamos aquí, ¿quién no ha tenido una confusión después de revisar el código?
Ver originalesResponder0
MetaverseVagabond
· 08-12 12:56
Este dinero es como tirar agua al mar, se ha ido, se ha ido.
Ver originalesResponder0
SchrödingersNode
· 08-12 12:53
Eh, contratos inteligentes no son más que esto.
Ver originalesResponder0
0xInsomnia
· 08-12 12:53
Otra vez bloqueado, solo están jugando para ganar dinero.
BlockSec revela vulnerabilidades en contratos de activos digitales, 34 millones de dólares en activos quedan permanentemente bloqueados.
BlockSec realizó recientemente una auditoría de seguridad en un contrato de un activo digital y descubrió dos vulnerabilidades graves. Estas vulnerabilidades podrían resultar en el bloqueo de los activos de los usuarios y en graves consecuencias como la incapacidad del equipo detrás del proyecto para retirar fondos.
La primera vulnerabilidad existe en la función de procesamiento de reembolsos. Esta función utiliza un método de bucle para reembolsar a todos los usuarios, pero si algún usuario es un contrato malicioso, podría rechazar recibir el reembolso y terminar la transacción, lo que haría que la operación de reembolso de todos los usuarios fallara. Afortunadamente, esta vulnerabilidad aún no ha sido explotada.
Para evitar problemas similares, se sugiere que el equipo detrás del proyecto tome las siguientes medidas de seguridad:
La segunda vulnerabilidad se debe a un error de codificación. En la función de extracción de fondos del proyecto, una declaración condicional presenta un error lógico, lo que impide que el equipo detrás del proyecto extraiga los fondos del contrato. Actualmente, más de 34 millones de dólares en activos están permanentemente bloqueados en el contrato.
Esto vuelve a resaltar la importancia de las pruebas exhaustivas y las auditorías de seguridad en el proceso de desarrollo del proyecto. Aunque en el ámbito DeFi, la auditoría de seguridad se ha convertido en una práctica común, en los proyectos de coleccionables digitales, este paso a menudo se pasa por alto, lo que resulta en pérdidas enormes.
El equipo detrás del proyecto debe escribir suficientes casos de prueba durante el proceso de desarrollo y cultivar una conciencia básica de seguridad. Al mismo tiempo, para proyectos de coleccionables digitales de alto valor, también es muy necesario realizar auditorías de seguridad profesionales para evitar que ocurran pérdidas importantes similares nuevamente.