Une entreprise de sécurité Blockchain a récemment découvert deux vulnérabilités graves dans un contrat de NFT. Ces deux vulnérabilités pourraient causer des pertes importantes pour les utilisateurs et le projet de fête.
Le premier défaut se trouve dans la fonction de traitement des remboursements. Cette fonction utilise une boucle pour rembourser tous les utilisateurs, mais si l'un d'entre eux a un contrat malveillant, cela pourrait entraîner l'échec de l'ensemble du processus de remboursement. Cela signifie que les transactions de remboursement de tous les utilisateurs pourraient être annulées. Heureusement, ce défaut n'a pas été exploité en pratique.
Pour éviter des problèmes similaires, il est conseillé au projet de fête de prendre les mesures suivantes lors de la conception du mécanisme de remboursement :
La restriction selon laquelle seuls les utilisateurs de comptes externes (EOA) peuvent participer au projet
Utiliser des jetons ERC20 (comme WETH) à la place des actifs natifs
Concevoir une fonctionnalité permettant aux utilisateurs de demander des remboursements eux-mêmes, plutôt que de procéder à des remboursements en masse.
Le deuxième défaut est une erreur de programme qui se produit dans la fonction de retrait de fonds du projet. En raison d'une mauvaise rédaction d'une instruction de condition, le projet de fête ne peut pas retirer les fonds du contrat. Plus précisément, la fonction compare une variable incorrecte, rendant la condition toujours inassouvie. Cette erreur a conduit à plus de 34 millions de dollars d'actifs étant définitivement bloqués dans le contrat.
Cet incident a de nouveau mis en lumière le fait que même les projets connus peuvent présenter des erreurs fondamentales. Il souligne l'importance de réaliser des tests approfondis et de maintenir une conscience de la sécurité tout au long du processus de développement. Bien que dans le domaine de la finance décentralisée (DeFi), les audits de sécurité soient devenus une pratique courante, il semble qu'il y ait encore des lacunes dans cette étape pour les projets de produits numériques. Cette négligence a directement entraîné d'énormes pertes, mettant en évidence la nécessité pour les projets de produits numériques de prêter également attention aux audits de sécurité.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Une faille dans le contrat des actifs numériques a entraîné le blocage de 34 millions de dollars - Un audit de sécurité est urgent.
Une entreprise de sécurité Blockchain a récemment découvert deux vulnérabilités graves dans un contrat de NFT. Ces deux vulnérabilités pourraient causer des pertes importantes pour les utilisateurs et le projet de fête.
Le premier défaut se trouve dans la fonction de traitement des remboursements. Cette fonction utilise une boucle pour rembourser tous les utilisateurs, mais si l'un d'entre eux a un contrat malveillant, cela pourrait entraîner l'échec de l'ensemble du processus de remboursement. Cela signifie que les transactions de remboursement de tous les utilisateurs pourraient être annulées. Heureusement, ce défaut n'a pas été exploité en pratique.
Pour éviter des problèmes similaires, il est conseillé au projet de fête de prendre les mesures suivantes lors de la conception du mécanisme de remboursement :
Le deuxième défaut est une erreur de programme qui se produit dans la fonction de retrait de fonds du projet. En raison d'une mauvaise rédaction d'une instruction de condition, le projet de fête ne peut pas retirer les fonds du contrat. Plus précisément, la fonction compare une variable incorrecte, rendant la condition toujours inassouvie. Cette erreur a conduit à plus de 34 millions de dollars d'actifs étant définitivement bloqués dans le contrat.
Cet incident a de nouveau mis en lumière le fait que même les projets connus peuvent présenter des erreurs fondamentales. Il souligne l'importance de réaliser des tests approfondis et de maintenir une conscience de la sécurité tout au long du processus de développement. Bien que dans le domaine de la finance décentralisée (DeFi), les audits de sécurité soient devenus une pratique courante, il semble qu'il y ait encore des lacunes dans cette étape pour les projets de produits numériques. Cette négligence a directement entraîné d'énormes pertes, mettant en évidence la nécessité pour les projets de produits numériques de prêter également attention aux audits de sécurité.