BlockSec a récemment effectué un audit de sécurité sur un contrat de collection numérique et a découvert deux vulnérabilités graves. Ces vulnérabilités pourraient entraîner le blocage des actifs des utilisateurs et des conséquences graves, telles que l'incapacité pour le projet de fête de retirer des fonds.
Le premier défaut se trouve dans la fonction de traitement des remboursements. Cette fonction effectue des remboursements en boucle pour tous les utilisateurs, mais si un utilisateur a un contrat malveillant, il peut refuser de recevoir le remboursement et mettre fin à la transaction, entraînant l'échec de l'opération de remboursement pour tous les utilisateurs. Heureusement, cette vulnérabilité n'a pas encore été exploitée.
Pour éviter des problèmes similaires, il est conseillé au projet de fête de prendre les mesures de sécurité suivantes :
La restriction selon laquelle seuls les comptes d'utilisateurs individuels peuvent participer au projet de fête.
Utiliser des jetons ERC20 plutôt que des actifs natifs
Concevoir un mécanisme permettant aux utilisateurs de demander activement un remboursement, plutôt que des remboursements en masse.
Le deuxième bogue est dû à une erreur de codage. Dans la fonction d'extraction des fonds du projet, une instruction conditionnelle a présenté une erreur logique, empêchant le projet de fête d'extraire les fonds du contrat. Actuellement, plus de 34 millions de dollars d'actifs sont définitivement verrouillés dans le contrat.
Cela souligne à nouveau l'importance des tests complets et des audits de sécurité dans le processus de développement du projet de fête. Bien que dans le domaine du DeFi, l'audit de sécurité soit devenu une pratique courante, dans les projets de collections numériques, cette étape est souvent négligée, entraînant d'énormes pertes.
Le projet de fête doit rédiger des cas de test suffisants durant le processus de développement et cultiver une conscience de sécurité de base. En même temps, pour les projets de collections numériques de grande valeur, il est également très nécessaire de réaliser un audit de sécurité professionnel afin d'éviter que des pertes majeures similaires ne se reproduisent.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
12 J'aime
Récompense
12
7
Reposter
Partager
Commentaire
0/400
LonelyAnchorman
· 08-14 17:39
Encore une occasion de couper les coupons qui m'a échappé.
Voir l'originalRépondre0
CryptoFortuneTeller
· 08-12 13:10
Puisque nous y sommes, dont le code a été examiné sans problème ?
Voir l'originalRépondre0
MetaverseVagabond
· 08-12 12:56
Cet argent équivaut à être jeté à l'eau, il s'est évaporé.
Voir l'originalRépondre0
SchrödingersNode
· 08-12 12:53
Eh, les smart contracts ne sont pas si extraordinaires.
Voir l'originalRépondre0
0xInsomnia
· 08-12 12:53
Encore verrouillé, c'est vraiment juste une façon de faire de l'argent.
BlockSec révèle une vulnérabilité dans le contrat des objets numériques, 34 millions de dollars d'actifs sont définitivement verrouillés.
BlockSec a récemment effectué un audit de sécurité sur un contrat de collection numérique et a découvert deux vulnérabilités graves. Ces vulnérabilités pourraient entraîner le blocage des actifs des utilisateurs et des conséquences graves, telles que l'incapacité pour le projet de fête de retirer des fonds.
Le premier défaut se trouve dans la fonction de traitement des remboursements. Cette fonction effectue des remboursements en boucle pour tous les utilisateurs, mais si un utilisateur a un contrat malveillant, il peut refuser de recevoir le remboursement et mettre fin à la transaction, entraînant l'échec de l'opération de remboursement pour tous les utilisateurs. Heureusement, cette vulnérabilité n'a pas encore été exploitée.
Pour éviter des problèmes similaires, il est conseillé au projet de fête de prendre les mesures de sécurité suivantes :
Le deuxième bogue est dû à une erreur de codage. Dans la fonction d'extraction des fonds du projet, une instruction conditionnelle a présenté une erreur logique, empêchant le projet de fête d'extraire les fonds du contrat. Actuellement, plus de 34 millions de dollars d'actifs sont définitivement verrouillés dans le contrat.
Cela souligne à nouveau l'importance des tests complets et des audits de sécurité dans le processus de développement du projet de fête. Bien que dans le domaine du DeFi, l'audit de sécurité soit devenu une pratique courante, dans les projets de collections numériques, cette étape est souvent négligée, entraînant d'énormes pertes.
Le projet de fête doit rédiger des cas de test suffisants durant le processus de développement et cultiver une conscience de sécurité de base. En même temps, pour les projets de collections numériques de grande valeur, il est également très nécessaire de réaliser un audit de sécurité professionnel afin d'éviter que des pertes majeures similaires ne se reproduisent.