Recentemente, uma empresa de segurança descobriu que um contrato de colecionáveis digitais apresentava duas vulnerabilidades graves. Essas vulnerabilidades podem resultar no bloqueio dos ativos dos usuários ou na impossibilidade de a equipa do projeto retirar fundos.
A primeira vulnerabilidade apareceu na função de processamento de reembolsos. Esta função reembolsa todos os usuários em um loop, mas se um usuário for um contrato malicioso, pode recusar o reembolso e fazer a transação falhar, resultando na interrupção de todo o processo de reembolso. Felizmente, essa vulnerabilidade não foi realmente explorada.
Para evitar problemas semelhantes, sugere-se que a equipa do projeto possa adotar as seguintes medidas para garantir reembolsos seguros:
A restrição é que apenas utilizadores individuais podem participar no projeto
Utilizar tokens ERC20 em vez de ativos nativos
Criar um mecanismo para que os utilizadores solicitem ativamente reembolsos, em vez de reembolsos em massa.
O segundo erro é um erro de código. Na função de extração de fundos do projeto, uma instrução de verificação de condição usou a variável errada para comparação. Isso fez com que a condição nunca pudesse ser satisfeita, e a equipa do projeto não conseguiu extrair os fundos do contrato. Atualmente, mais de 34 milhões de dólares em ativos estão bloqueados no contrato.
Estas questões destacam novamente que mesmo projetos conhecidos podem cometer erros graves. Durante o desenvolvimento do projeto, é necessário escrever casos de teste adequados e ter uma consciência básica de segurança. Embora as auditorias de segurança tenham se tornado uma prática comum no campo das finanças descentralizadas, nas equipas do projeto de colecionáveis digitais, as auditorias de segurança ainda estão ausentes, e este incidente resultou em enormes perdas financeiras.
Este evento lembra-nos que os projetos de colecionáveis digitais também devem dar importância à auditoria de segurança, para evitar que perdas significativas como esta voltem a acontecer.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
19 Curtidas
Recompensa
19
6
Compartilhar
Comentário
0/400
NFTRegretDiary
· 17h atrás
Mais uma lição sobre a caixa de veneno
Ver originalResponder0
MevShadowranger
· 08-02 20:22
Outra vez os contratos inteligentes falharam. O que está a fazer a equipa do projeto?
Ver originalResponder0
0xSleepDeprived
· 08-02 20:21
A auditoria não é feita gg
Ver originalResponder0
ShamedApeSeller
· 08-02 20:17
Devolva o dinheiro, devolva o meu suado dinheiro.
Ver originalResponder0
BearMarketBarber
· 08-02 20:12
A função de reembolso está tão rudimentar, condenado.
Ver originalResponder0
SmartContractPlumber
· 08-02 20:11
É mais uma típica vulnerabilidade de reentrada da função de reembolso, um erro básico que já vimos demais em 2021.
Vulnerabilidade em projeto de colecionáveis digitais resulta em 34 milhões de dólares bloqueados; auditoria de segurança é urgente.
Recentemente, uma empresa de segurança descobriu que um contrato de colecionáveis digitais apresentava duas vulnerabilidades graves. Essas vulnerabilidades podem resultar no bloqueio dos ativos dos usuários ou na impossibilidade de a equipa do projeto retirar fundos.
A primeira vulnerabilidade apareceu na função de processamento de reembolsos. Esta função reembolsa todos os usuários em um loop, mas se um usuário for um contrato malicioso, pode recusar o reembolso e fazer a transação falhar, resultando na interrupção de todo o processo de reembolso. Felizmente, essa vulnerabilidade não foi realmente explorada.
Para evitar problemas semelhantes, sugere-se que a equipa do projeto possa adotar as seguintes medidas para garantir reembolsos seguros:
O segundo erro é um erro de código. Na função de extração de fundos do projeto, uma instrução de verificação de condição usou a variável errada para comparação. Isso fez com que a condição nunca pudesse ser satisfeita, e a equipa do projeto não conseguiu extrair os fundos do contrato. Atualmente, mais de 34 milhões de dólares em ativos estão bloqueados no contrato.
Estas questões destacam novamente que mesmo projetos conhecidos podem cometer erros graves. Durante o desenvolvimento do projeto, é necessário escrever casos de teste adequados e ter uma consciência básica de segurança. Embora as auditorias de segurança tenham se tornado uma prática comum no campo das finanças descentralizadas, nas equipas do projeto de colecionáveis digitais, as auditorias de segurança ainda estão ausentes, e este incidente resultou em enormes perdas financeiras.
Este evento lembra-nos que os projetos de colecionáveis digitais também devem dar importância à auditoria de segurança, para evitar que perdas significativas como esta voltem a acontecer.