Una vulnerabilidad en el proyecto de coleccionables digitales causa que 34 millones de dólares queden bloqueados. Una auditoría de seguridad es urgente.
Recientemente, una empresa de seguridad descubrió dos vulnerabilidades graves en un contrato de coleccionables digitales. Estas vulnerabilidades podrían llevar a que los activos de los usuarios queden bloqueados o que el equipo detrás del proyecto no pueda retirar fondos.
La primera vulnerabilidad se encuentra en la función de procesamiento de reembolsos. Esta función reembolsa a todos los usuarios en un bucle, pero si un usuario es un contrato malicioso, puede rechazar el reembolso y hacer que la transacción falle, interrumpiendo todo el proceso de reembolso. Afortunadamente, esta vulnerabilidad no fue explotada en la práctica.
Para evitar problemas similares, se sugiere que el equipo detrás del proyecto pueda tomar las siguientes medidas para garantizar reembolsos seguros:
La restricción es que solo los usuarios individuales pueden participar en el proyecto.
Utilizar tokens ERC20 en lugar de activos nativos
Diseñar un mecanismo para que los usuarios soliciten activamente un reembolso, en lugar de reembolsos masivos.
La segunda vulnerabilidad es un error de código. En la función de extracción de fondos del proyecto, una sentencia de condición utilizó una variable incorrecta para la comparación. Esto llevó a que esa condición nunca se cumpliera, y el equipo detrás del proyecto no pudo extraer los fondos del contrato. Actualmente, más de 34 millones de dólares en activos están bloqueados en el contrato.
Estas cuestiones destacan una vez más que incluso los proyectos conocidos pueden cometer errores básicos. Durante el desarrollo del proyecto, es necesario redactar suficientes casos de prueba y tener conciencia básica de seguridad. Aunque en el ámbito de las finanzas descentralizadas, la auditoría de seguridad se ha convertido en una práctica común, en los proyectos de coleccionables digitales, la auditoría de seguridad sigue siendo inexistente, y este incidente ha llevado a una gran pérdida de fondos.
Este evento nos recuerda que los proyectos de coleccionables digitales también deben prestar atención a las auditorías de seguridad para prevenir que pérdidas significativas como estas vuelvan a ocurrir.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
19 me gusta
Recompensa
19
6
Compartir
Comentar
0/400
NFTRegretDiary
· 08-05 09:52
Otra lección de la caja de veneno
Ver originalesResponder0
MevShadowranger
· 08-02 20:22
Otra vez fallan los contratos inteligentes, ¿qué está haciendo el equipo detrás del proyecto?
Ver originalesResponder0
0xSleepDeprived
· 08-02 20:21
No se hace auditoría gg
Ver originalesResponder0
ShamedApeSeller
· 08-02 20:17
Devuélveme el dinero, devuélveme mi dinero ganado con esfuerzo.
Ver originalesResponder0
BearMarketBarber
· 08-02 20:12
La función de reembolso es tan rudimentaria, condenado.
Ver originalesResponder0
SmartContractPlumber
· 08-02 20:11
Es otro típico agujero de seguridad de reentrada en funciones de reembolso, este tipo de error de bajo nivel se ha visto demasiadas veces desde 2021.
Una vulnerabilidad en el proyecto de coleccionables digitales causa que 34 millones de dólares queden bloqueados. Una auditoría de seguridad es urgente.
Recientemente, una empresa de seguridad descubrió dos vulnerabilidades graves en un contrato de coleccionables digitales. Estas vulnerabilidades podrían llevar a que los activos de los usuarios queden bloqueados o que el equipo detrás del proyecto no pueda retirar fondos.
La primera vulnerabilidad se encuentra en la función de procesamiento de reembolsos. Esta función reembolsa a todos los usuarios en un bucle, pero si un usuario es un contrato malicioso, puede rechazar el reembolso y hacer que la transacción falle, interrumpiendo todo el proceso de reembolso. Afortunadamente, esta vulnerabilidad no fue explotada en la práctica.
Para evitar problemas similares, se sugiere que el equipo detrás del proyecto pueda tomar las siguientes medidas para garantizar reembolsos seguros:
La segunda vulnerabilidad es un error de código. En la función de extracción de fondos del proyecto, una sentencia de condición utilizó una variable incorrecta para la comparación. Esto llevó a que esa condición nunca se cumpliera, y el equipo detrás del proyecto no pudo extraer los fondos del contrato. Actualmente, más de 34 millones de dólares en activos están bloqueados en el contrato.
Estas cuestiones destacan una vez más que incluso los proyectos conocidos pueden cometer errores básicos. Durante el desarrollo del proyecto, es necesario redactar suficientes casos de prueba y tener conciencia básica de seguridad. Aunque en el ámbito de las finanzas descentralizadas, la auditoría de seguridad se ha convertido en una práctica común, en los proyectos de coleccionables digitales, la auditoría de seguridad sigue siendo inexistente, y este incidente ha llevado a una gran pérdida de fondos.
Este evento nos recuerda que los proyectos de coleccionables digitales también deben prestar atención a las auditorías de seguridad para prevenir que pérdidas significativas como estas vuelvan a ocurrir.