BlockSec a récemment découvert que certains contrats de collection numérique présentent deux vulnérabilités graves, suscitant l'attention de l'industrie. La première vulnérabilité pourrait entraîner une attaque par déni de service contre le contrat, mettant en danger les actifs des utilisateurs qui risquent d'être bloqués ; la seconde vulnérabilité pourrait entraîner la rétention permanente dans le contrat d'actifs dépassant 34 millions de dollars.
Le premier vulnérable se trouve dans la fonction de traitement des remboursements. Cette fonction rembourse tous les utilisateurs par le biais d'une boucle, mais si l'objet de remboursement est un contrat malveillant, il peut refuser de recevoir et annuler la transaction, ce qui entraîne une interruption de l'ensemble du processus de remboursement. Heureusement, cette vulnérabilité n'a pas été exploitée en pratique.
Pour ce type de situation, les experts en sécurité conseillent aux équipes de projet de prendre les mesures suivantes pour renforcer la sécurité du mécanisme de remboursement :
La restriction est que seuls les comptes d'utilisateurs individuels peuvent participer au projet.
Utiliser des actifs natifs alternatifs tels que les jetons ERC20
Concevoir une fonctionnalité permettant aux utilisateurs de demander activement un remboursement, afin d'éviter les remboursements en masse.
Le deuxième bug provient d'une erreur de programmation. Dans la fonction d'extraction des fonds du projet, il y a une instruction conditionnelle incorrecte. Cette instruction était censée comparer l'avancement des remboursements à l'index des enchères, mais a été incorrectement comparée au nombre total d'enchères. Étant donné que l'avancement des remboursements est toujours inférieur au nombre total d'enchères et n'augmente plus, la condition ne peut donc jamais être satisfaite, ce qui entraîne le verrouillage permanent des fonds du projet dans le contrat.
Cette erreur a entraîné le blocage de plus de 34 millions de dollars d'actifs qui ne peuvent actuellement pas être retirés du contrat.
Les experts en sécurité affirment qu'il est surprenant qu'après l'incident de vulnérabilité de la vérification des signatures des collectibles numériques de la NBA, un autre projet bien connu présente une erreur aussi basique. Ils soulignent qu'il est nécessaire de rédiger des cas de test suffisants au cours du développement du projet et d'avoir une conscience de base en matière de sécurité. Bien que les audits de sécurité soient devenus une pratique courante dans le domaine de la finance décentralisée, dans les projets de collectibles numériques, les audits de sécurité restent insuffisants, et cette négligence a directement entraîné des pertes énormes.
Cet événement souligne à nouveau l'importance des audits de sécurité pour les projets blockchain, appelant l'industrie à renforcer les vérifications de sécurité des contrats de collections numériques afin d'éviter que des incidents similaires ne se reproduisent.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
11 J'aime
Récompense
11
5
Partager
Commentaire
0/400
TokenomicsTinfoilHat
· 07-27 20:38
Encore perdu, des actifs insuffisants pour couvrir les dettes.
Voir l'originalRépondre0
LidoStakeAddict
· 07-26 12:54
Contrat gg, donnez-moi tout.
Voir l'originalRépondre0
LiquidationKing
· 07-25 03:43
Encore un NFT chute à zéro
Voir l'originalRépondre0
TopBuyerBottomSeller
· 07-25 03:42
Contrat a encore explosé, classique pour fabriquer des pigeons.
Voir l'originalRépondre0
PanicSeller
· 07-25 03:32
Encore gagné gros, n'est-ce pas ? Il n'y a sûrement pas d'argent à rembourser.
Un contrat de collection numérique présente une double faille, entraînant le verrouillage permanent d'actifs d'une valeur de 34 millions de dollars.
BlockSec a récemment découvert que certains contrats de collection numérique présentent deux vulnérabilités graves, suscitant l'attention de l'industrie. La première vulnérabilité pourrait entraîner une attaque par déni de service contre le contrat, mettant en danger les actifs des utilisateurs qui risquent d'être bloqués ; la seconde vulnérabilité pourrait entraîner la rétention permanente dans le contrat d'actifs dépassant 34 millions de dollars.
Le premier vulnérable se trouve dans la fonction de traitement des remboursements. Cette fonction rembourse tous les utilisateurs par le biais d'une boucle, mais si l'objet de remboursement est un contrat malveillant, il peut refuser de recevoir et annuler la transaction, ce qui entraîne une interruption de l'ensemble du processus de remboursement. Heureusement, cette vulnérabilité n'a pas été exploitée en pratique.
Pour ce type de situation, les experts en sécurité conseillent aux équipes de projet de prendre les mesures suivantes pour renforcer la sécurité du mécanisme de remboursement :
Le deuxième bug provient d'une erreur de programmation. Dans la fonction d'extraction des fonds du projet, il y a une instruction conditionnelle incorrecte. Cette instruction était censée comparer l'avancement des remboursements à l'index des enchères, mais a été incorrectement comparée au nombre total d'enchères. Étant donné que l'avancement des remboursements est toujours inférieur au nombre total d'enchères et n'augmente plus, la condition ne peut donc jamais être satisfaite, ce qui entraîne le verrouillage permanent des fonds du projet dans le contrat.
Cette erreur a entraîné le blocage de plus de 34 millions de dollars d'actifs qui ne peuvent actuellement pas être retirés du contrat.
Les experts en sécurité affirment qu'il est surprenant qu'après l'incident de vulnérabilité de la vérification des signatures des collectibles numériques de la NBA, un autre projet bien connu présente une erreur aussi basique. Ils soulignent qu'il est nécessaire de rédiger des cas de test suffisants au cours du développement du projet et d'avoir une conscience de base en matière de sécurité. Bien que les audits de sécurité soient devenus une pratique courante dans le domaine de la finance décentralisée, dans les projets de collectibles numériques, les audits de sécurité restent insuffisants, et cette négligence a directement entraîné des pertes énormes.
Cet événement souligne à nouveau l'importance des audits de sécurité pour les projets blockchain, appelant l'industrie à renforcer les vérifications de sécurité des contrats de collections numériques afin d'éviter que des incidents similaires ne se reproduisent.