Récemment, une entreprise de sécurité a découvert deux vulnérabilités graves dans un contrat de collection numérique. Ces vulnérabilités pourraient entraîner le blocage des actifs des utilisateurs ou empêcher le projet de fête de retirer des fonds.
Le premier bug se trouve dans la fonction de traitement des remboursements. Cette fonction rembourse tous les utilisateurs par boucle, mais si un utilisateur est un contrat malveillant, il peut refuser de recevoir le remboursement et faire échouer la transaction, ce qui entraîne l'interruption de tout le processus de remboursement. Heureusement, cette vulnérabilité n'a pas été exploitée en pratique.
Pour éviter des problèmes similaires, il est conseillé que le projet de fête prenne les mesures suivantes pour garantir un remboursement sécurisé :
La restriction stipule que seuls les utilisateurs individuels peuvent participer au projet de fête.
Utiliser des jetons ERC20 plutôt que des actifs natifs
Concevoir un mécanisme permettant aux utilisateurs de demander activement un remboursement, plutôt que de procéder à des remboursements en masse.
Le deuxième bug est une erreur de code. Dans la fonction d'extraction des fonds du projet, une instruction conditionnelle utilise une variable incorrecte pour la comparaison. Cela entraîne le fait que cette condition ne peut jamais être satisfaite, et le projet de fête ne peut pas extraire les fonds du contrat. Actuellement, plus de 34 millions de dollars d'actifs sont bloqués dans le contrat.
Ces problèmes soulignent à nouveau que même les projets connus peuvent commettre des erreurs de débutants. Lors du développement d'un projet, il est nécessaire de rédiger des cas de test suffisants et d'avoir une conscience de base en matière de sécurité. Bien que l'audit de sécurité soit devenu une pratique courante dans le domaine de la finance décentralisée, il fait encore défaut dans les projets de collections numériques, et cet incident a entraîné des pertes financières énormes.
Cet événement nous rappelle que les projets de fête numériques devraient également accorder une attention particulière à l'audit de sécurité afin d'éviter que de telles pertes majeures ne se reproduisent.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
19 J'aime
Récompense
19
6
Partager
Commentaire
0/400
NFTRegretDiary
· 08-05 09:52
Une autre leçon des boîtes toxiques
Voir l'originalRépondre0
MevShadowranger
· 08-02 20:22
Encore un échec des smart contracts, que fait le projet de fête ?
La fonction de remboursement est si rudimentaire, condamnée.
Voir l'originalRépondre0
SmartContractPlumber
· 08-02 20:11
C'est encore une vulnérabilité typique de réentrance dans les fonctions de remboursement, une erreur de bas niveau que l'on a trop souvent vue en 2021.
Une vulnérabilité dans un projet de collection numérique a entraîné le blocage de 34 millions de dollars. Un audit de sécurité est urgent.
Récemment, une entreprise de sécurité a découvert deux vulnérabilités graves dans un contrat de collection numérique. Ces vulnérabilités pourraient entraîner le blocage des actifs des utilisateurs ou empêcher le projet de fête de retirer des fonds.
Le premier bug se trouve dans la fonction de traitement des remboursements. Cette fonction rembourse tous les utilisateurs par boucle, mais si un utilisateur est un contrat malveillant, il peut refuser de recevoir le remboursement et faire échouer la transaction, ce qui entraîne l'interruption de tout le processus de remboursement. Heureusement, cette vulnérabilité n'a pas été exploitée en pratique.
Pour éviter des problèmes similaires, il est conseillé que le projet de fête prenne les mesures suivantes pour garantir un remboursement sécurisé :
Le deuxième bug est une erreur de code. Dans la fonction d'extraction des fonds du projet, une instruction conditionnelle utilise une variable incorrecte pour la comparaison. Cela entraîne le fait que cette condition ne peut jamais être satisfaite, et le projet de fête ne peut pas extraire les fonds du contrat. Actuellement, plus de 34 millions de dollars d'actifs sont bloqués dans le contrat.
Ces problèmes soulignent à nouveau que même les projets connus peuvent commettre des erreurs de débutants. Lors du développement d'un projet, il est nécessaire de rédiger des cas de test suffisants et d'avoir une conscience de base en matière de sécurité. Bien que l'audit de sécurité soit devenu une pratique courante dans le domaine de la finance décentralisée, il fait encore défaut dans les projets de collections numériques, et cet incident a entraîné des pertes financières énormes.
Cet événement nous rappelle que les projets de fête numériques devraient également accorder une attention particulière à l'audit de sécurité afin d'éviter que de telles pertes majeures ne se reproduisent.