Uma empresa de segurança em Blockchain descobriu recentemente duas vulnerabilidades graves em um contrato de coleção digital. Essas duas vulnerabilidades podem causar perdas significativas para os usuários e para a equipa do projeto.
A primeira vulnerabilidade existe na função de processamento de reembolsos. Essa função utiliza um loop para reembolsar todos os usuários, mas se houver um contrato malicioso entre eles, isso pode causar a falha de todo o processo de reembolso. Isso significa que as transações de reembolso de todos os usuários podem ser anuladas. Felizmente, essa vulnerabilidade não foi realmente explorada.
Para evitar problemas semelhantes, recomenda-se que a equipa do projeto adote as seguintes medidas ao projetar o mecanismo de reembolso:
A restrição é que apenas os utilizadores de contas externas (EOA) podem participar no projeto
Utilizar tokens ERC20 (como WETH) em vez de ativos nativos
Projetar uma funcionalidade que permita aos usuários solicitar reembolsos por conta própria, em vez de reembolsos em massa.
O segundo erro é um erro de programação, que aparece na função de retirada de fundos do projeto. Devido a um erro na escrita de uma instrução de condição, a equipa do projeto não consegue retirar os fundos do contrato. Especificamente, a função comparou variáveis erradas, fazendo com que a condição nunca pudesse ser satisfeita. Este erro resultou na permanência de mais de 34 milhões de dólares em ativos permanentemente bloqueados no contrato.
Este incidente expôs novamente que até mesmo projetos conhecidos podem cometer erros fundamentais. Enfatiza a importância de realizar testes adequados e manter a consciência de segurança durante o processo de desenvolvimento. Embora, no campo das finanças descentralizadas (DeFi), as auditorias de segurança tenham se tornado uma prática comum, nesta categoria de projetos de colecionáveis digitais, essa etapa parece ainda estar em falta. Esta negligência resultou diretamente em enormes perdas, destacando a necessidade de que os projetos de colecionáveis digitais também deem importância às auditorias de segurança.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Vulnerabilidade em contratos de colecionáveis digitais causa bloqueio de 34 milhões de dólares. Auditoria de segurança é urgente.
Uma empresa de segurança em Blockchain descobriu recentemente duas vulnerabilidades graves em um contrato de coleção digital. Essas duas vulnerabilidades podem causar perdas significativas para os usuários e para a equipa do projeto.
A primeira vulnerabilidade existe na função de processamento de reembolsos. Essa função utiliza um loop para reembolsar todos os usuários, mas se houver um contrato malicioso entre eles, isso pode causar a falha de todo o processo de reembolso. Isso significa que as transações de reembolso de todos os usuários podem ser anuladas. Felizmente, essa vulnerabilidade não foi realmente explorada.
Para evitar problemas semelhantes, recomenda-se que a equipa do projeto adote as seguintes medidas ao projetar o mecanismo de reembolso:
O segundo erro é um erro de programação, que aparece na função de retirada de fundos do projeto. Devido a um erro na escrita de uma instrução de condição, a equipa do projeto não consegue retirar os fundos do contrato. Especificamente, a função comparou variáveis erradas, fazendo com que a condição nunca pudesse ser satisfeita. Este erro resultou na permanência de mais de 34 milhões de dólares em ativos permanentemente bloqueados no contrato.
Este incidente expôs novamente que até mesmo projetos conhecidos podem cometer erros fundamentais. Enfatiza a importância de realizar testes adequados e manter a consciência de segurança durante o processo de desenvolvimento. Embora, no campo das finanças descentralizadas (DeFi), as auditorias de segurança tenham se tornado uma prática comum, nesta categoria de projetos de colecionáveis digitais, essa etapa parece ainda estar em falta. Esta negligência resultou diretamente em enormes perdas, destacando a necessidade de que os projetos de colecionáveis digitais também deem importância às auditorias de segurança.