Récemment, une entreprise de sécurité Blockchain a découvert deux graves vulnérabilités dans un contrat de collection numérique, suscitant l'attention du secteur. L'adresse du contrat est située sur le Mainnet Ethereum, et les problèmes impliqués pourraient entraîner le blocage des actifs des utilisateurs ainsi que l'impossibilité pour le projet de fête de retirer des fonds.
Le premier bug se trouve dans la fonction de traitement des remboursements. Cette fonction rembourse tous les utilisateurs par boucle, mais si l'objet de remboursement est un contrat malveillant, il peut refuser de recevoir et provoquer un rollback de la transaction, ce qui entraîne un échec de l'ensemble du processus de remboursement. Heureusement, cette vulnérabilité n'a pas été réellement exploitée.
Pour ce type de logique de remboursement, les experts de l'industrie ont proposé quelques suggestions :
La restriction n'autorise que les comptes externes (EOA) à participer au projet
Utiliser des actifs natifs remplacés par des tokens ERC20 comme WETH
Concevoir un mécanisme permettant aux utilisateurs de réclamer activement un remboursement, afin d'éviter les remboursements en masse.
Le deuxième bug est dû à une négligence dans l'écriture du code. Dans la fonction de retrait de fonds du projet de fête, il y a une erreur de condition. Elle devait comparer le progrès du remboursement et l'index de l'enchère, mais a été incorrectement comparée au nombre total d'enchères. Cela a conduit à ce que la condition ne puisse jamais être satisfaite, et les fonds du projet de fête (plus de 34 millions de dollars) ont été définitivement verrouillés dans le contrat.
Cet événement a de nouveau suscité des inquiétudes dans l'industrie concernant la sécurité des projets de collections numériques. Dans le domaine de la finance décentralisée (DeFi), l'audit de sécurité est devenu une pratique courante, mais dans les projets de collections numériques, cette étape semble encore être négligée. Les experts appellent les projets de fête à rédiger des cas de test suffisants pendant le processus de développement, à cultiver une conscience de base en matière de sécurité et à envisager d'introduire des audits de sécurité professionnels pour éviter des pertes énormes dues à des erreurs de base similaires.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
6
Partager
Commentaire
0/400
SocialFiQueen
· 07-23 06:43
Personne ne teste les contrats, n'est-ce pas ?
Voir l'originalRépondre0
JustHereForAirdrops
· 07-23 05:43
Cette fois, des pigeons sont encore piégés.
Voir l'originalRépondre0
StableBoi
· 07-23 05:42
Encore une troupe de théâtre amateur
Voir l'originalRépondre0
GmGnSleeper
· 07-23 05:38
Cet idiot de projet de fête mange des dates et des pilules.
Le contrat de collection numérique Ethereum révèle deux grandes vulnérabilités, 34 millions de dollars de fonds sont bloqués.
Récemment, une entreprise de sécurité Blockchain a découvert deux graves vulnérabilités dans un contrat de collection numérique, suscitant l'attention du secteur. L'adresse du contrat est située sur le Mainnet Ethereum, et les problèmes impliqués pourraient entraîner le blocage des actifs des utilisateurs ainsi que l'impossibilité pour le projet de fête de retirer des fonds.
Le premier bug se trouve dans la fonction de traitement des remboursements. Cette fonction rembourse tous les utilisateurs par boucle, mais si l'objet de remboursement est un contrat malveillant, il peut refuser de recevoir et provoquer un rollback de la transaction, ce qui entraîne un échec de l'ensemble du processus de remboursement. Heureusement, cette vulnérabilité n'a pas été réellement exploitée.
Pour ce type de logique de remboursement, les experts de l'industrie ont proposé quelques suggestions :
Le deuxième bug est dû à une négligence dans l'écriture du code. Dans la fonction de retrait de fonds du projet de fête, il y a une erreur de condition. Elle devait comparer le progrès du remboursement et l'index de l'enchère, mais a été incorrectement comparée au nombre total d'enchères. Cela a conduit à ce que la condition ne puisse jamais être satisfaite, et les fonds du projet de fête (plus de 34 millions de dollars) ont été définitivement verrouillés dans le contrat.
Cet événement a de nouveau suscité des inquiétudes dans l'industrie concernant la sécurité des projets de collections numériques. Dans le domaine de la finance décentralisée (DeFi), l'audit de sécurité est devenu une pratique courante, mais dans les projets de collections numériques, cette étape semble encore être négligée. Les experts appellent les projets de fête à rédiger des cas de test suffisants pendant le processus de développement, à cultiver une conscience de base en matière de sécurité et à envisager d'introduire des audits de sécurité professionnels pour éviter des pertes énormes dues à des erreurs de base similaires.