Recientemente, una empresa de seguridad descubrió dos vulnerabilidades importantes en un contrato de coleccionables digitales, lo que ha generado una amplia atención en la industria. Estas dos vulnerabilidades pueden resultar en graves consecuencias, como el bloqueo de los activos de los usuarios y la incapacidad del equipo detrás del proyecto para retirar fondos.
La primera vulnerabilidad se encuentra en la función de procesamiento de reembolsos. Esta función realiza reembolsos para todos los usuarios a través de un bucle, pero si incluye a un usuario de contrato malicioso, podría interrumpir todo el proceso de reembolso, bloqueando así los activos de todos los usuarios. Afortunadamente, esta vulnerabilidad no fue explotada en la práctica.
Ante este tipo de situaciones, los expertos de la industria sugieren que el equipo detrás del proyecto puede tomar las siguientes medidas de seguridad:
La restricción es que solo las cuentas de usuarios normales pueden participar en el proyecto.
Usar tokens ERC20 como WETH en lugar de activos nativos
Diseñar un mecanismo para que los usuarios soliciten activamente reembolsos, evitando reembolsos masivos.
El segundo fallo se debe a un error de programación. En la función de extracción de fondos del proyecto, se utilizó una variable incorrecta para comparar una condición clave. Esto hizo que la condición nunca se cumpliera, y los fondos del equipo detrás del proyecto (más de 34 millones de dólares) quedaron permanentemente bloqueados en el contrato.
Este evento resalta nuevamente que incluso los proyectos conocidos pueden cometer errores básicos. Los expertos hacen un llamado a que el equipo detrás del proyecto elabore suficientes casos de prueba durante el proceso de desarrollo y fomente una conciencia básica de seguridad. Aunque en el ámbito DeFi, la auditoría de seguridad se ha convertido en una práctica común, en los proyectos de coleccionables digitales, todavía hay una evidente falta de auditorías de seguridad, y este evento es un ejemplo típico.
Este incidente recuerda una vez más a los profesionales de la industria que, mientras la tecnología blockchain se desarrolla rápidamente, la seguridad del proyecto no debe ser ignorada. Tanto el equipo detrás del proyecto como los inversores deben prestar más atención a la seguridad de los contratos inteligentes para evitar que ocurran pérdidas masivas similares.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
7 me gusta
Recompensa
7
5
Compartir
Comentar
0/400
BrokeBeans
· hace20h
Bien hecho, ¿quién les mandó no probar?
Ver originalesResponder0
AltcoinAnalyst
· hace20h
Según el análisis de datos on-chain, esta restricción de activos afecta aproximadamente el 27% del TVL... parece que ciertos proyectos todavía están utilizando código antiguo de hace cinco años.
Ver originalesResponder0
NFTArtisanHQ
· hace20h
es fascinante cómo los contratos inteligentes reflejan la fragilidad de la estética post-digital, para ser honestos...
Ver originalesResponder0
airdrop_whisperer
· hace20h
Otra vez hay problemas con el contrato, difícil de colapsar.
Se revela un fallo en el contrato del proyecto de coleccionables digitales, 34 millones de dólares en fondos quedan permanentemente bloqueados.
Recientemente, una empresa de seguridad descubrió dos vulnerabilidades importantes en un contrato de coleccionables digitales, lo que ha generado una amplia atención en la industria. Estas dos vulnerabilidades pueden resultar en graves consecuencias, como el bloqueo de los activos de los usuarios y la incapacidad del equipo detrás del proyecto para retirar fondos.
La primera vulnerabilidad se encuentra en la función de procesamiento de reembolsos. Esta función realiza reembolsos para todos los usuarios a través de un bucle, pero si incluye a un usuario de contrato malicioso, podría interrumpir todo el proceso de reembolso, bloqueando así los activos de todos los usuarios. Afortunadamente, esta vulnerabilidad no fue explotada en la práctica.
Ante este tipo de situaciones, los expertos de la industria sugieren que el equipo detrás del proyecto puede tomar las siguientes medidas de seguridad:
El segundo fallo se debe a un error de programación. En la función de extracción de fondos del proyecto, se utilizó una variable incorrecta para comparar una condición clave. Esto hizo que la condición nunca se cumpliera, y los fondos del equipo detrás del proyecto (más de 34 millones de dólares) quedaron permanentemente bloqueados en el contrato.
Este evento resalta nuevamente que incluso los proyectos conocidos pueden cometer errores básicos. Los expertos hacen un llamado a que el equipo detrás del proyecto elabore suficientes casos de prueba durante el proceso de desarrollo y fomente una conciencia básica de seguridad. Aunque en el ámbito DeFi, la auditoría de seguridad se ha convertido en una práctica común, en los proyectos de coleccionables digitales, todavía hay una evidente falta de auditorías de seguridad, y este evento es un ejemplo típico.
Este incidente recuerda una vez más a los profesionales de la industria que, mientras la tecnología blockchain se desarrolla rápidamente, la seguridad del proyecto no debe ser ignorada. Tanto el equipo detrás del proyecto como los inversores deben prestar más atención a la seguridad de los contratos inteligentes para evitar que ocurran pérdidas masivas similares.