Recientemente, una empresa de seguridad en la cadena de bloques descubrió dos vulnerabilidades graves en un contrato de coleccionables digitales, lo que ha generado preocupación en la industria. La dirección de dicho contrato se encuentra en la red principal de Ethereum, y los problemas involucrados podrían llevar a que los activos de los usuarios queden bloqueados y el equipo detrás del proyecto no pueda retirar los fondos.
La primera vulnerabilidad existe en la función de procesamiento de reembolsos. Esta función realiza reembolsos a todos los usuarios a través de un bucle, pero si el objeto de reembolso es un contrato malicioso, puede rechazar la recepción y hacer que la transacción se revierta, lo que lleva al fracaso de todo el proceso de reembolso. Afortunadamente, esta vulnerabilidad no ha sido explotada en la práctica.
Para la lógica de reembolso de este tipo, los expertos de la industria han propuesto algunos consejos:
La restricción es que solo las cuentas externas (EOA) pueden participar en el proyecto
Utilizar WETH y otros tokens ERC20 en lugar de activos nativos
Diseñar un mecanismo para que los usuarios soliciten activamente el reembolso, evitando reembolsos masivos.
El segundo defecto se debe a una negligencia en la escritura del código. En la función de extracción de fondos del equipo detrás del proyecto, hay un error en la comparación de condiciones. En lugar de comparar el progreso del reembolso con el índice de la oferta, se comparó erróneamente con el número total de ofertas. Esto provoca que la condición nunca se cumpla, y los fondos del equipo detrás del proyecto (más de 34 millones de dólares) quedan permanentemente bloqueados en el contrato.
Este evento ha vuelto a generar preocupaciones en la industria sobre la seguridad de los proyectos de coleccionables digitales. En el campo de las finanzas descentralizadas (DeFi), la auditoría de seguridad se ha convertido en una práctica común, pero en los proyectos de coleccionables digitales, este aspecto parece seguir siendo ignorado. Los expertos hacen un llamado al equipo detrás del proyecto para que, durante el proceso de desarrollo, redacten casos de prueba adecuados, cultiven una conciencia básica de seguridad y consideren la posibilidad de introducir auditorías de seguridad profesionales, para evitar pérdidas enormes causadas por errores de bajo nivel.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
9 me gusta
Recompensa
9
6
Compartir
Comentar
0/400
SocialFiQueen
· 07-23 06:43
¿Nadie mide el contrato, verdad?
Ver originalesResponder0
JustHereForAirdrops
· 07-23 05:43
Esta vez hay tontos atrapados.
Ver originalesResponder0
StableBoi
· 07-23 05:42
Otra vez un grupo improvisado
Ver originalesResponder0
GmGnSleeper
· 07-23 05:38
Este tonto equipo detrás del proyecto se come una pastilla de dátiles.
El contrato de coleccionables digitales de Ethereum revela dos grandes vulnerabilidades, con 34 millones de dólares en fondos bloqueados.
Recientemente, una empresa de seguridad en la cadena de bloques descubrió dos vulnerabilidades graves en un contrato de coleccionables digitales, lo que ha generado preocupación en la industria. La dirección de dicho contrato se encuentra en la red principal de Ethereum, y los problemas involucrados podrían llevar a que los activos de los usuarios queden bloqueados y el equipo detrás del proyecto no pueda retirar los fondos.
La primera vulnerabilidad existe en la función de procesamiento de reembolsos. Esta función realiza reembolsos a todos los usuarios a través de un bucle, pero si el objeto de reembolso es un contrato malicioso, puede rechazar la recepción y hacer que la transacción se revierta, lo que lleva al fracaso de todo el proceso de reembolso. Afortunadamente, esta vulnerabilidad no ha sido explotada en la práctica.
Para la lógica de reembolso de este tipo, los expertos de la industria han propuesto algunos consejos:
El segundo defecto se debe a una negligencia en la escritura del código. En la función de extracción de fondos del equipo detrás del proyecto, hay un error en la comparación de condiciones. En lugar de comparar el progreso del reembolso con el índice de la oferta, se comparó erróneamente con el número total de ofertas. Esto provoca que la condición nunca se cumpla, y los fondos del equipo detrás del proyecto (más de 34 millones de dólares) quedan permanentemente bloqueados en el contrato.
Este evento ha vuelto a generar preocupaciones en la industria sobre la seguridad de los proyectos de coleccionables digitales. En el campo de las finanzas descentralizadas (DeFi), la auditoría de seguridad se ha convertido en una práctica común, pero en los proyectos de coleccionables digitales, este aspecto parece seguir siendo ignorado. Los expertos hacen un llamado al equipo detrás del proyecto para que, durante el proceso de desarrollo, redacten casos de prueba adecuados, cultiven una conciencia básica de seguridad y consideren la posibilidad de introducir auditorías de seguridad profesionales, para evitar pérdidas enormes causadas por errores de bajo nivel.