A BlockSec realizou recentemente uma auditoria de segurança em um contrato de colecionáveis digitais e descobriu duas vulnerabilidades graves. Essas vulnerabilidades podem resultar em ativos dos usuários sendo bloqueados e na impossibilidade de a equipa do projeto retirar fundos, entre outras consequências graves.
A primeira vulnerabilidade está na funcionalidade de processamento de reembolsos. Esta funcionalidade utiliza um método de loop para reembolsar todos os usuários, mas se algum usuário for um contrato malicioso, pode recusar o reembolso e interromper a transação, levando ao fracasso da operação de reembolso para todos os usuários. Felizmente, esta vulnerabilidade ainda não foi explorada.
Para evitar problemas semelhantes, recomenda-se que a equipa do projeto tome as seguintes medidas de segurança:
A restrição é que apenas contas de utilizadores individuais podem participar no projeto
Usar tokens ERC20 em vez de ativos nativos
Criar um mecanismo para que os usuários solicitem ativamente reembolsos, em vez de reembolsos em massa.
O segundo erro é causado por um erro de codificação. Na funcionalidade de extração de fundos do projeto, uma instrução de condição apresentou um erro lógico, impedindo a equipa do projeto de extrair os fundos do contrato. Neste momento, mais de 34 milhões de dólares em ativos estão permanentemente bloqueados no contrato.
Isto destaca novamente a importância dos testes abrangentes e da auditoria de segurança durante o processo de desenvolvimento do projeto. Embora na área DeFi a auditoria de segurança tenha se tornado uma prática comum, esta etapa é frequentemente negligenciada em projetos de colecionáveis digitais, levando a perdas enormes.
A equipa do projeto deve elaborar casos de teste suficientes durante o processo de desenvolvimento e cultivar uma consciência básica de segurança. Ao mesmo tempo, para projetos de colecionáveis digitais de alto valor, é também extremamente necessário realizar uma auditoria de segurança profissional, a fim de evitar que perdas significativas semelhantes ocorram novamente.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
12 gostos
Recompensa
12
5
Republicar
Partilhar
Comentar
0/400
LonelyAnchorman
· 08-14 17:39
Outra oportunidade de Cupões de Recorte escapou.
Ver originalResponder0
CryptoFortuneTeller
· 08-12 13:10
Já que viemos, quem é que não teve uma confusão após a revisão do código?
Ver originalResponder0
MetaverseVagabond
· 08-12 12:56
Este dinheiro é como se tivesse sido perdido, escapuliu.
Ver originalResponder0
SchrödingersNode
· 08-12 12:53
Ah, contratos inteligentes não são nada de especial.
Ver originalResponder0
0xInsomnia
· 08-12 12:53
Outra vez bloqueado, realmente só está a brincar para ganhar dinheiro.
A BlockSec revelou vulnerabilidades no contrato de ativos digitais, resultando no bloqueio permanente de 34 milhões de dólares em ativos.
A BlockSec realizou recentemente uma auditoria de segurança em um contrato de colecionáveis digitais e descobriu duas vulnerabilidades graves. Essas vulnerabilidades podem resultar em ativos dos usuários sendo bloqueados e na impossibilidade de a equipa do projeto retirar fundos, entre outras consequências graves.
A primeira vulnerabilidade está na funcionalidade de processamento de reembolsos. Esta funcionalidade utiliza um método de loop para reembolsar todos os usuários, mas se algum usuário for um contrato malicioso, pode recusar o reembolso e interromper a transação, levando ao fracasso da operação de reembolso para todos os usuários. Felizmente, esta vulnerabilidade ainda não foi explorada.
Para evitar problemas semelhantes, recomenda-se que a equipa do projeto tome as seguintes medidas de segurança:
O segundo erro é causado por um erro de codificação. Na funcionalidade de extração de fundos do projeto, uma instrução de condição apresentou um erro lógico, impedindo a equipa do projeto de extrair os fundos do contrato. Neste momento, mais de 34 milhões de dólares em ativos estão permanentemente bloqueados no contrato.
Isto destaca novamente a importância dos testes abrangentes e da auditoria de segurança durante o processo de desenvolvimento do projeto. Embora na área DeFi a auditoria de segurança tenha se tornado uma prática comum, esta etapa é frequentemente negligenciada em projetos de colecionáveis digitais, levando a perdas enormes.
A equipa do projeto deve elaborar casos de teste suficientes durante o processo de desenvolvimento e cultivar uma consciência básica de segurança. Ao mesmo tempo, para projetos de colecionáveis digitais de alto valor, é também extremamente necessário realizar uma auditoria de segurança profissional, a fim de evitar que perdas significativas semelhantes ocorram novamente.