Una empresa de seguridad de cadena de bloques ha descubierto recientemente dos vulnerabilidades graves en un contrato de coleccionables digitales. Estas dos vulnerabilidades podrían causar pérdidas significativas para los usuarios y el equipo detrás del proyecto.
La primera vulnerabilidad se encuentra en la función de procesamiento de reembolsos. Esta función utiliza un bucle para reembolsar a todos los usuarios, pero si hay un contrato malicioso entre ellos, podría provocar el fallo de todo el proceso de reembolso. Esto significa que las transacciones de reembolso de todos los usuarios podrían ser revertidas. Afortunadamente, esta vulnerabilidad no fue explotada en la práctica.
Para evitar problemas similares, se sugiere que el equipo detrás del proyecto tome las siguientes medidas al diseñar el mecanismo de reembolso:
La restricción es que solo los usuarios de cuentas externas (EOA) pueden participar en el proyecto
Usar un token ERC20 (como WETH) en lugar de un activo nativo
Diseñar una función que permita a los usuarios solicitar reembolsos por sí mismos, en lugar de reembolsos masivos.
El segundo fallo es un error de programación que se presenta en la función de extracción de fondos del proyecto. Debido a un error en la redacción de una declaración condicional, el equipo detrás del proyecto no pudo extraer los fondos del contrato. Específicamente, se compararon variables incorrectas en la función, lo que hizo que la condición nunca pudiera cumplirse. Este error resultó en que más de 34 millones de dólares en activos quedaran permanentemente bloqueados en el contrato.
Este incidente expone nuevamente que incluso los proyectos conocidos pueden cometer errores fundamentales. Resalta la importancia de realizar pruebas exhaustivas y mantener la conciencia de seguridad durante el proceso de desarrollo. Aunque en el ámbito de las finanzas descentralizadas (DeFi) las auditorías de seguridad se han convertido en una práctica habitual, en los proyectos de coleccionables digitales parece que este aspecto aún está deficiente. Esta negligencia causó pérdidas enormes, lo que subraya la necesidad de que los proyectos de coleccionables digitales también presten atención a la auditoría de seguridad.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Una vulnerabilidad en el contrato de coleccionables digitales provoca el bloqueo de 34 millones de dólares. La auditoría de seguridad es urgente.
Una empresa de seguridad de cadena de bloques ha descubierto recientemente dos vulnerabilidades graves en un contrato de coleccionables digitales. Estas dos vulnerabilidades podrían causar pérdidas significativas para los usuarios y el equipo detrás del proyecto.
La primera vulnerabilidad se encuentra en la función de procesamiento de reembolsos. Esta función utiliza un bucle para reembolsar a todos los usuarios, pero si hay un contrato malicioso entre ellos, podría provocar el fallo de todo el proceso de reembolso. Esto significa que las transacciones de reembolso de todos los usuarios podrían ser revertidas. Afortunadamente, esta vulnerabilidad no fue explotada en la práctica.
Para evitar problemas similares, se sugiere que el equipo detrás del proyecto tome las siguientes medidas al diseñar el mecanismo de reembolso:
El segundo fallo es un error de programación que se presenta en la función de extracción de fondos del proyecto. Debido a un error en la redacción de una declaración condicional, el equipo detrás del proyecto no pudo extraer los fondos del contrato. Específicamente, se compararon variables incorrectas en la función, lo que hizo que la condición nunca pudiera cumplirse. Este error resultó en que más de 34 millones de dólares en activos quedaran permanentemente bloqueados en el contrato.
Este incidente expone nuevamente que incluso los proyectos conocidos pueden cometer errores fundamentales. Resalta la importancia de realizar pruebas exhaustivas y mantener la conciencia de seguridad durante el proceso de desarrollo. Aunque en el ámbito de las finanzas descentralizadas (DeFi) las auditorías de seguridad se han convertido en una práctica habitual, en los proyectos de coleccionables digitales parece que este aspecto aún está deficiente. Esta negligencia causó pérdidas enormes, lo que subraya la necesidad de que los proyectos de coleccionables digitales también presten atención a la auditoría de seguridad.