Недавно BlockSec обнаружил два серьезных уязвимости в одном из контрактов цифровых коллекционных предметов, что вызвало внимание в отрасли. Первая уязвимость может привести к атаке типа «отказ в обслуживании», в результате чего активы пользователей могут быть заблокированы; вторая уязвимость может привести к тому, что активы на сумму более 34 миллионов долларов навсегда останутся в контракте и не смогут быть выведены.
!
Первый уязвимость находится в функции обработки возвратов. Эта функция выполняет возврат средств всем пользователям в цикле, но если объект возврата является вредоносным контрактом, он может отказаться от получения и откатить транзакцию, что приведет к прерыванию всего процесса возврата. К счастью, эта уязвимость не была фактически использована.
В связи с такими ситуациями эксперты по безопасности рекомендуют командам проекта принять следующие меры для повышения безопасности механизма возврата средств:
Ограничение, что только личные учетные записи пользователей могут участвовать в проекте
Использование токенов ERC20 и других заменителей нативных активов
Разработать функцию, позволяющую пользователям самостоятельно запрашивать возврат средств, чтобы избежать массовых возвратов.
!
Вторая уязвимость возникает из-за ошибки программирования. В функции извлечения средств проекта есть неверное условное выражение. Это выражение должно было сравнивать прогресс возврата средств с индексом ставки, но ошибочно сравнивалось с общим количеством ставок. Поскольку прогресс возврата средств всегда меньше общего количества ставок и больше не увеличивается, условие никогда не может быть выполнено, в результате чего средства проекта навсегда остаются заблокированными в контракте.
Эта ошибка привела к тому, что более 34 миллионов долларов активов в настоящее время заблокированы в контракте и не могут быть выведены.
Эксперты по безопасности заявляют, что удивительно, что после инцидента с уязвимостью проверки подписей цифровых коллекционных предметов NBA в одном из известных проектов произошла такая низкопробная ошибка. Они подчеркивают, что в процессе разработки проекта необходимо писать достаточное количество тестовых случаев и иметь базовое понимание безопасности. Хотя в области децентрализованных финансов безопасность аудитов стала обычной практикой, в проектах цифровых коллекционных предметов безопасность аудитов все еще недостаточна, и такая небрежность напрямую приводит к огромным потерям.
Это событие еще раз подчеркивает важность безопасности аудита блокчейн-проектов и призывает индустрию усилить контроль за безопасностью контрактов цифровых коллекционных предметов, чтобы предотвратить подобные инциденты в будущем.
!
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
5
Поделиться
комментарий
0/400
TokenomicsTinfoilHat
· 07-27 20:38
Снова нет, активы не покрывают обязательства.
Посмотреть ОригиналОтветить0
LidoStakeAddict
· 07-26 12:54
Контракт gg, все дайте мне润
Посмотреть ОригиналОтветить0
LiquidationKing
· 07-25 03:43
Еще один NFT падение до нуля
Посмотреть ОригиналОтветить0
TopBuyerBottomSeller
· 07-25 03:42
Контракты снова взорвались, классическое создание неудачников
Посмотреть ОригиналОтветить0
PanicSeller
· 07-25 03:32
Снова заработали много, да? Наверняка денег не вернут.
Контракт цифровых коллекционных предметов обнаружил двойную уязвимость, активы на сумму 34 миллиона долларов были навсегда заблокированы.
Недавно BlockSec обнаружил два серьезных уязвимости в одном из контрактов цифровых коллекционных предметов, что вызвало внимание в отрасли. Первая уязвимость может привести к атаке типа «отказ в обслуживании», в результате чего активы пользователей могут быть заблокированы; вторая уязвимость может привести к тому, что активы на сумму более 34 миллионов долларов навсегда останутся в контракте и не смогут быть выведены.
!
Первый уязвимость находится в функции обработки возвратов. Эта функция выполняет возврат средств всем пользователям в цикле, но если объект возврата является вредоносным контрактом, он может отказаться от получения и откатить транзакцию, что приведет к прерыванию всего процесса возврата. К счастью, эта уязвимость не была фактически использована.
В связи с такими ситуациями эксперты по безопасности рекомендуют командам проекта принять следующие меры для повышения безопасности механизма возврата средств:
!
Вторая уязвимость возникает из-за ошибки программирования. В функции извлечения средств проекта есть неверное условное выражение. Это выражение должно было сравнивать прогресс возврата средств с индексом ставки, но ошибочно сравнивалось с общим количеством ставок. Поскольку прогресс возврата средств всегда меньше общего количества ставок и больше не увеличивается, условие никогда не может быть выполнено, в результате чего средства проекта навсегда остаются заблокированными в контракте.
Эта ошибка привела к тому, что более 34 миллионов долларов активов в настоящее время заблокированы в контракте и не могут быть выведены.
Эксперты по безопасности заявляют, что удивительно, что после инцидента с уязвимостью проверки подписей цифровых коллекционных предметов NBA в одном из известных проектов произошла такая низкопробная ошибка. Они подчеркивают, что в процессе разработки проекта необходимо писать достаточное количество тестовых случаев и иметь базовое понимание безопасности. Хотя в области децентрализованных финансов безопасность аудитов стала обычной практикой, в проектах цифровых коллекционных предметов безопасность аудитов все еще недостаточна, и такая небрежность напрямую приводит к огромным потерям.
Это событие еще раз подчеркивает важность безопасности аудита блокчейн-проектов и призывает индустрию усилить контроль за безопасностью контрактов цифровых коллекционных предметов, чтобы предотвратить подобные инциденты в будущем.
!