BlockSec recientemente descubrió que un contrato de coleccionables digitales tiene dos vulnerabilidades graves, lo que ha suscitado la atención de la industria. La primera vulnerabilidad podría permitir que el contrato sufra un ataque de denegación de servicio, poniendo en riesgo los activos de los usuarios al ser bloqueados; la segunda vulnerabilidad podría resultar en que más de 34 millones de dólares en activos del proyecto queden permanentemente atrapados en el contrato y no puedan ser retirados.
El primer fallo se encuentra en la función de procesamiento de reembolsos. Esta función reembolsa a todos los usuarios mediante un bucle, pero si el objeto de reembolso es un contrato malicioso, puede rechazar la recepción y revertir la transacción, lo que interrumpe todo el proceso de reembolso. Afortunadamente, esta vulnerabilidad no fue explotada en la práctica.
En situaciones como esta, los expertos en seguridad sugieren que los equipos del proyecto pueden tomar las siguientes medidas para mejorar la seguridad del mecanismo de reembolso:
La participación en el proyecto está restringida solo a cuentas de usuarios individuales.
Usar tokens ERC20 u otros activos alternativos
Diseñar la función para que los usuarios puedan solicitar el reembolso de forma activa, evitando los reembolsos masivos
La segunda vulnerabilidad proviene de un error de programación. En la función que extrae los fondos del proyecto, hay una declaración de condición que es incorrecta. Esta declaración debería comparar el progreso del reembolso con el índice de la oferta, pero erróneamente se compara con el número total de ofertas. Dado que el progreso del reembolso es siempre menor que el número total de ofertas y no aumenta más, la condición nunca puede cumplirse, lo que provoca que los fondos del proyecto queden permanentemente bloqueados en el contrato.
Este error ha causado que más de 34 millones de dólares en activos estén actualmente retenidos en el contrato y no se puedan retirar.
Los expertos en seguridad han señalado que, sorprendentemente, después del incidente de vulnerabilidad en la verificación de firmas de coleccionables digitales de la NBA, otro proyecto conocido ha mostrado un error tan básico. Enfatizan que durante el desarrollo del proyecto es necesario escribir suficientes casos de prueba y tener una conciencia básica de seguridad. Aunque en el ámbito de las finanzas descentralizadas la auditoría de seguridad se ha convertido en una práctica común, en los proyectos de coleccionables digitales, la auditoría de seguridad sigue siendo insuficiente, y esta negligencia ha llevado directamente a pérdidas enormes.
Este evento resalta nuevamente la importancia de la auditoría de seguridad en proyectos de blockchain, haciendo un llamado a la industria para fortalecer la revisión de seguridad de los contratos de coleccionables digitales, con el fin de prevenir que eventos similares ocurran nuevamente.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
11 me gusta
Recompensa
11
5
Compartir
Comentar
0/400
TokenomicsTinfoilHat
· 07-27 20:38
Otra vez no hay, los activos no cubren las deudas.
Ver originalesResponder0
LidoStakeAddict
· 07-26 12:54
Contrato gg, todos me lo dan
Ver originalesResponder0
LiquidationKing
· 07-25 03:43
Otro NFT caida a cero
Ver originalesResponder0
TopBuyerBottomSeller
· 07-25 03:42
El contrato volvió a estallar, clásico para fabricar tontos.
Ver originalesResponder0
PanicSeller
· 07-25 03:32
¿Ya ganaste mucho otra vez? Seguro que no hay dinero de regreso, ¿verdad?
El contrato de colecciones digitales presenta una doble vulnerabilidad, 34 millones de dólares en activos quedan permanentemente bloqueados.
BlockSec recientemente descubrió que un contrato de coleccionables digitales tiene dos vulnerabilidades graves, lo que ha suscitado la atención de la industria. La primera vulnerabilidad podría permitir que el contrato sufra un ataque de denegación de servicio, poniendo en riesgo los activos de los usuarios al ser bloqueados; la segunda vulnerabilidad podría resultar en que más de 34 millones de dólares en activos del proyecto queden permanentemente atrapados en el contrato y no puedan ser retirados.
El primer fallo se encuentra en la función de procesamiento de reembolsos. Esta función reembolsa a todos los usuarios mediante un bucle, pero si el objeto de reembolso es un contrato malicioso, puede rechazar la recepción y revertir la transacción, lo que interrumpe todo el proceso de reembolso. Afortunadamente, esta vulnerabilidad no fue explotada en la práctica.
En situaciones como esta, los expertos en seguridad sugieren que los equipos del proyecto pueden tomar las siguientes medidas para mejorar la seguridad del mecanismo de reembolso:
La segunda vulnerabilidad proviene de un error de programación. En la función que extrae los fondos del proyecto, hay una declaración de condición que es incorrecta. Esta declaración debería comparar el progreso del reembolso con el índice de la oferta, pero erróneamente se compara con el número total de ofertas. Dado que el progreso del reembolso es siempre menor que el número total de ofertas y no aumenta más, la condición nunca puede cumplirse, lo que provoca que los fondos del proyecto queden permanentemente bloqueados en el contrato.
Este error ha causado que más de 34 millones de dólares en activos estén actualmente retenidos en el contrato y no se puedan retirar.
Los expertos en seguridad han señalado que, sorprendentemente, después del incidente de vulnerabilidad en la verificación de firmas de coleccionables digitales de la NBA, otro proyecto conocido ha mostrado un error tan básico. Enfatizan que durante el desarrollo del proyecto es necesario escribir suficientes casos de prueba y tener una conciencia básica de seguridad. Aunque en el ámbito de las finanzas descentralizadas la auditoría de seguridad se ha convertido en una práctica común, en los proyectos de coleccionables digitales, la auditoría de seguridad sigue siendo insuficiente, y esta negligencia ha llevado directamente a pérdidas enormes.
Este evento resalta nuevamente la importancia de la auditoría de seguridad en proyectos de blockchain, haciendo un llamado a la industria para fortalecer la revisión de seguridad de los contratos de coleccionables digitales, con el fin de prevenir que eventos similares ocurran nuevamente.