A BlockSec descobriu recentemente duas vulnerabilidades graves em um contrato de coleção digital, o que gerou preocupação na indústria. A primeira vulnerabilidade pode levar o contrato a sofrer um ataque de negação de serviço, colocando os ativos dos usuários em risco de serem bloqueados; a segunda vulnerabilidade pode resultar na permanência de mais de 34 milhões de dólares em ativos no contrato, impossibilitando a sua retirada.
A primeira vulnerabilidade está na função de processamento de reembolso. Essa função reembolsa todos os usuários em um loop, mas se o objeto de reembolso for um contrato malicioso, ele pode recusar-se a receber e reverter a transação, interrompendo todo o processo de reembolso. Felizmente, essa vulnerabilidade não foi realmente explorada.
Para situações como esta, especialistas em segurança recomendam que as partes do projeto adotem as seguintes medidas para fortalecer a segurança do mecanismo de reembolso:
A restrição é que apenas contas de usuários individuais podem participar do projeto
Usar tokens ERC20 e outros ativos alternativos
Projetar uma funcionalidade que permita ao usuário solicitar reembolso ativamente, evitando reembolsos em massa.
A segunda vulnerabilidade decorre de um erro de programação. Na função que extrai os fundos do projeto, existe uma instrução de verificação de condição que está incorreta. Esta instrução deveria comparar o progresso do reembolso com o índice da licitação, mas foi equivocadamente comparada com o número total de licitações. Como o progresso do reembolso é sempre inferior ao número total de licitações e não aumenta mais, a condição nunca pode ser satisfeita, resultando no bloqueio permanente dos fundos do projeto no contrato.
Este erro resultou na retenção de mais de 34 milhões de dólares em ativos que atualmente não podem ser retirados do contrato.
Especialistas em segurança afirmam que, surpreendentemente, após o incidente de vulnerabilidade na verificação de assinaturas de colecionáveis digitais da NBA, mais um projeto conhecido apresentou um erro tão primário. Eles enfatizam que é necessário elaborar casos de teste abrangentes durante o desenvolvimento do projeto e ter uma consciência básica de segurança. Embora a auditoria de segurança tenha se tornado uma prática comum no setor de finanças descentralizadas, ainda é insuficiente em projetos de colecionáveis digitais, e essa negligência levou a perdas significativas.
Este evento destaca novamente a importância da auditoria de segurança em projetos de blockchain, apelando para que o setor intensifique a verificação de segurança dos contratos de colecionáveis digitais, a fim de prevenir que eventos semelhantes ocorram novamente.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
8 Curtidas
Recompensa
8
4
Compartilhar
Comentário
0/400
LidoStakeAddict
· 17h atrás
O contrato gg dá-me todos.
Ver originalResponder0
LiquidationKing
· 07-25 03:43
Outro NFT cair para zero
Ver originalResponder0
TopBuyerBottomSeller
· 07-25 03:42
O contrato explodiu novamente, clássico na fabricação de idiotas.
Ver originalResponder0
PanicSeller
· 07-25 03:32
Já ganhaste muito, não é? Com certeza não há dinheiro para reembolsar.
Contrato de colecionáveis digitais apresenta dupla vulnerabilidade, 34 milhões de dólares em ativos bloqueados permanentemente.
A BlockSec descobriu recentemente duas vulnerabilidades graves em um contrato de coleção digital, o que gerou preocupação na indústria. A primeira vulnerabilidade pode levar o contrato a sofrer um ataque de negação de serviço, colocando os ativos dos usuários em risco de serem bloqueados; a segunda vulnerabilidade pode resultar na permanência de mais de 34 milhões de dólares em ativos no contrato, impossibilitando a sua retirada.
A primeira vulnerabilidade está na função de processamento de reembolso. Essa função reembolsa todos os usuários em um loop, mas se o objeto de reembolso for um contrato malicioso, ele pode recusar-se a receber e reverter a transação, interrompendo todo o processo de reembolso. Felizmente, essa vulnerabilidade não foi realmente explorada.
Para situações como esta, especialistas em segurança recomendam que as partes do projeto adotem as seguintes medidas para fortalecer a segurança do mecanismo de reembolso:
A segunda vulnerabilidade decorre de um erro de programação. Na função que extrai os fundos do projeto, existe uma instrução de verificação de condição que está incorreta. Esta instrução deveria comparar o progresso do reembolso com o índice da licitação, mas foi equivocadamente comparada com o número total de licitações. Como o progresso do reembolso é sempre inferior ao número total de licitações e não aumenta mais, a condição nunca pode ser satisfeita, resultando no bloqueio permanente dos fundos do projeto no contrato.
Este erro resultou na retenção de mais de 34 milhões de dólares em ativos que atualmente não podem ser retirados do contrato.
Especialistas em segurança afirmam que, surpreendentemente, após o incidente de vulnerabilidade na verificação de assinaturas de colecionáveis digitais da NBA, mais um projeto conhecido apresentou um erro tão primário. Eles enfatizam que é necessário elaborar casos de teste abrangentes durante o desenvolvimento do projeto e ter uma consciência básica de segurança. Embora a auditoria de segurança tenha se tornado uma prática comum no setor de finanças descentralizadas, ainda é insuficiente em projetos de colecionáveis digitais, e essa negligência levou a perdas significativas.
Este evento destaca novamente a importância da auditoria de segurança em projetos de blockchain, apelando para que o setor intensifique a verificação de segurança dos contratos de colecionáveis digitais, a fim de prevenir que eventos semelhantes ocorram novamente.