Recentemente, uma empresa de segurança descobriu que um contrato de coleção digital tinha duas vulnerabilidades significativas, gerando ampla atenção na indústria. Essas duas vulnerabilidades podem resultar em consequências graves, como o bloqueio dos ativos dos usuários e a incapacidade da equipa do projeto de retirar fundos.
A primeira vulnerabilidade está na função de processamento de reembolsos. Essa função faz reembolsos para todos os usuários em um loop, mas se incluir usuários de contratos maliciosos, pode interromper todo o processo de reembolso, bloqueando assim os ativos de todos os usuários. Felizmente, essa vulnerabilidade não foi explorada na prática.
Para situações como esta, especialistas da indústria sugerem que a equipa do projeto pode adotar as seguintes medidas de segurança:
A restrição é que apenas contas de utilizadores comuns podem participar no projeto
Usar tokens ERC20 como WETH em vez de ativos nativos
Projetar um mecanismo que permita aos usuários solicitar reembolsos ativamente, evitando reembolsos em massa.
O segundo erro foi causado por um erro de programação. Na função de extração de fundos do projeto, uma condição crítica utilizou uma variável errada para a comparação. Isso fez com que a condição de verificação nunca fosse satisfeita, resultando em que os fundos da equipa do projeto (mais de 34 milhões de dólares) ficassem permanentemente bloqueados no contrato.
Este evento destaca novamente que mesmo projetos conhecidos podem cometer erros básicos. Especialistas apelam para que a equipa do projeto escreva casos de teste adequados durante o processo de desenvolvimento e cultive uma consciência básica de segurança. Embora na área de DeFi a auditoria de segurança se tenha tornado uma prática comum, nos projetos de colecionáveis digitais ainda existem deficiências evidentes em auditorias de segurança, e este evento é um exemplo típico.
Este incidente lembra novamente os profissionais da indústria que, enquanto a tecnologia blockchain se desenvolve rapidamente, a segurança do projeto não deve ser negligenciada. Tanto as equipas do projeto como os investidores devem dar mais atenção à segurança dos contratos inteligentes, para evitar que perdas enormes semelhantes voltem a ocorrer.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
7 gostos
Recompensa
7
5
Partilhar
Comentar
0/400
BrokeBeans
· 07-29 08:23
Bem feito, quem mandou vocês não testarem.
Ver originalResponder0
AltcoinAnalyst
· 07-29 08:22
A partir da análise de dados na cadeia, o impacto do bloqueio de ativos no TVL é de cerca de 27%... parece que alguns projetos ainda estão a usar código antigo de há cinco anos.
Ver originalResponder0
NFTArtisanHQ
· 07-29 08:22
fascinante como os contratos inteligentes refletem a fragilidade da estética pós-digital, a verdade seja dita...
Ver originalResponder0
airdrop_whisperer
· 07-29 08:21
Mais uma vez, o contrato está com problemas. Difícil de colapsar.
Vulnerabilidade de contrato do projeto de coleções digitais expõe 34 milhões de dólares em fundos permanentemente bloqueados
Recentemente, uma empresa de segurança descobriu que um contrato de coleção digital tinha duas vulnerabilidades significativas, gerando ampla atenção na indústria. Essas duas vulnerabilidades podem resultar em consequências graves, como o bloqueio dos ativos dos usuários e a incapacidade da equipa do projeto de retirar fundos.
A primeira vulnerabilidade está na função de processamento de reembolsos. Essa função faz reembolsos para todos os usuários em um loop, mas se incluir usuários de contratos maliciosos, pode interromper todo o processo de reembolso, bloqueando assim os ativos de todos os usuários. Felizmente, essa vulnerabilidade não foi explorada na prática.
Para situações como esta, especialistas da indústria sugerem que a equipa do projeto pode adotar as seguintes medidas de segurança:
O segundo erro foi causado por um erro de programação. Na função de extração de fundos do projeto, uma condição crítica utilizou uma variável errada para a comparação. Isso fez com que a condição de verificação nunca fosse satisfeita, resultando em que os fundos da equipa do projeto (mais de 34 milhões de dólares) ficassem permanentemente bloqueados no contrato.
Este evento destaca novamente que mesmo projetos conhecidos podem cometer erros básicos. Especialistas apelam para que a equipa do projeto escreva casos de teste adequados durante o processo de desenvolvimento e cultive uma consciência básica de segurança. Embora na área de DeFi a auditoria de segurança se tenha tornado uma prática comum, nos projetos de colecionáveis digitais ainda existem deficiências evidentes em auditorias de segurança, e este evento é um exemplo típico.
Este incidente lembra novamente os profissionais da indústria que, enquanto a tecnologia blockchain se desenvolve rapidamente, a segurança do projeto não deve ser negligenciada. Tanto as equipas do projeto como os investidores devem dar mais atenção à segurança dos contratos inteligentes, para evitar que perdas enormes semelhantes voltem a ocorrer.