Récemment, une entreprise de sécurité a découvert deux vulnérabilités majeures dans un contrat de collection numérique, suscitant un large intérêt dans l'industrie. Ces deux vulnérabilités pourraient respectivement entraîner le blocage des actifs des utilisateurs et des conséquences graves pour le projet de fête, empêchant le retrait des fonds.
Le premier vulnérabilité se trouve dans la fonction de traitement des remboursements. Cette fonction procède au remboursement de tous les utilisateurs par le biais d'une boucle, mais si elle inclut un utilisateur de contrat malveillant, cela pourrait interrompre l'ensemble du processus de remboursement, verrouillant ainsi les actifs de tous les utilisateurs. Heureusement, cette vulnérabilité n'a pas été exploitée en pratique.
À cet égard, les experts de l'industrie suggèrent que le projet de fête puisse prendre les mesures de sécurité suivantes :
La restriction ne permet que les comptes d'utilisateur standard de participer au projet de fête.
Utiliser des actifs natifs de remplacement par des jetons ERC20 comme WETH
Concevoir un mécanisme permettant aux utilisateurs de demander activement un remboursement, afin d'éviter les remboursements en masse.
Le deuxième bug est causé par une erreur de programmation. Dans la fonction d'extraction des fonds du projet, une condition clé a été comparée avec une variable incorrecte. Cela a conduit à ce que la condition ne puisse jamais être satisfaite, les fonds du projet (plus de 34 millions de dollars) étant ainsi définitivement verrouillés dans le contrat.
Cet événement souligne encore une fois que même les projets connus peuvent commettre des erreurs de base. Les experts appellent le projet de fête à rédiger des cas de test adéquats durant le processus de développement et à cultiver une conscience de sécurité fondamentale. Bien que dans le domaine de la DeFi, les audits de sécurité soient devenus une pratique courante, il existe encore des lacunes évidentes dans les projets de collections numériques, et cet incident en est un exemple typique.
Cet événement rappelle une fois de plus aux professionnels du secteur que, malgré le développement rapide de la technologie blockchain, la sécurité des projets ne doit pas être négligée. Que ce soit pour les équipes de développement ou les investisseurs, il est crucial de porter une attention accrue à la sécurité des contrats intelligents afin d'éviter que de telles pertes massives ne se reproduisent.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
7 J'aime
Récompense
7
5
Partager
Commentaire
0/400
BrokeBeans
· 07-29 08:23
C'est bien fait pour vous, qui vous a dit de ne pas tester.
Voir l'originalRépondre0
AltcoinAnalyst
· 07-29 08:22
D'après l'analyse des données off-chain, cette verrouillage d'actifs a un impact d'environ 27 % sur le TVL... Il semble que certains projets utilisent encore de vieux codes datant de cinq ans.
Voir l'originalRépondre0
NFTArtisanHQ
· 07-29 08:22
fascinant de voir comment les smart contracts reflètent la fragilité des esthétiques post-numériques, tbh...
Voir l'originalRépondre0
airdrop_whisperer
· 07-29 08:21
Encore un problème de contrat, difficile à s'effondrer.
Une vulnérabilité dans le contrat du projet de collection numérique expose 34 millions de dollars de fonds à un verrouillage permanent.
Récemment, une entreprise de sécurité a découvert deux vulnérabilités majeures dans un contrat de collection numérique, suscitant un large intérêt dans l'industrie. Ces deux vulnérabilités pourraient respectivement entraîner le blocage des actifs des utilisateurs et des conséquences graves pour le projet de fête, empêchant le retrait des fonds.
Le premier vulnérabilité se trouve dans la fonction de traitement des remboursements. Cette fonction procède au remboursement de tous les utilisateurs par le biais d'une boucle, mais si elle inclut un utilisateur de contrat malveillant, cela pourrait interrompre l'ensemble du processus de remboursement, verrouillant ainsi les actifs de tous les utilisateurs. Heureusement, cette vulnérabilité n'a pas été exploitée en pratique.
À cet égard, les experts de l'industrie suggèrent que le projet de fête puisse prendre les mesures de sécurité suivantes :
Le deuxième bug est causé par une erreur de programmation. Dans la fonction d'extraction des fonds du projet, une condition clé a été comparée avec une variable incorrecte. Cela a conduit à ce que la condition ne puisse jamais être satisfaite, les fonds du projet (plus de 34 millions de dollars) étant ainsi définitivement verrouillés dans le contrat.
Cet événement souligne encore une fois que même les projets connus peuvent commettre des erreurs de base. Les experts appellent le projet de fête à rédiger des cas de test adéquats durant le processus de développement et à cultiver une conscience de sécurité fondamentale. Bien que dans le domaine de la DeFi, les audits de sécurité soient devenus une pratique courante, il existe encore des lacunes évidentes dans les projets de collections numériques, et cet incident en est un exemple typique.
Cet événement rappelle une fois de plus aux professionnels du secteur que, malgré le développement rapide de la technologie blockchain, la sécurité des projets ne doit pas être négligée. Que ce soit pour les équipes de développement ou les investisseurs, il est crucial de porter une attention accrue à la sécurité des contrats intelligents afin d'éviter que de telles pertes massives ne se reproduisent.