Recentemente, uma empresa de segurança em blockchain descobriu dois sérios vazamentos em um contrato de colecionáveis digitais, gerando preocupação na indústria. O endereço do contrato está localizado na rede principal do Ethereum, e os problemas envolvidos podem levar ao bloqueio de ativos dos usuários e à impossibilidade de a equipa do projeto retirar fundos.
A primeira vulnerabilidade existe na função de processamento de reembolsos. Esta função faz reembolsos para todos os usuários em um loop, mas se o objeto de reembolso for um contrato malicioso, pode recusar a recepção e fazer a transação reverter, resultando na falha de todo o processo de reembolso. Felizmente, essa vulnerabilidade não foi realmente explorada.
Para a lógica de reembolso deste tipo, especialistas do setor apresentaram algumas recomendações:
A restrição é que apenas contas externas (EOA) podem participar do projeto
Utilizar WETH e outros tokens ERC20 em vez de ativos nativos
Criar um mecanismo para que os usuários possam solicitar reembolsos ativamente, evitando reembolsos em massa.
O segundo erro foi causado por um descuido na escrita do código. Na função de retirada de fundos da equipa do projeto, há um erro na comparação de condições. Deveria comparar o progresso do reembolso com o índice da proposta, mas foi erroneamente comparado com o número total de propostas. Isso fez com que a condição nunca fosse satisfeita, e os fundos da equipa do projeto (mais de 34 milhões de dólares) ficaram permanentemente bloqueados no contrato.
Este evento levantou novamente preocupações na indústria sobre a segurança dos projetos de colecionáveis digitais. No campo das finanças descentralizadas (DeFi), as auditorias de segurança tornaram-se uma prática comum, mas em projetos de colecionáveis digitais, essa etapa parece ainda ser ignorada. Especialistas apelam para que a equipa do projeto desenvolva casos de teste adequados durante o processo de desenvolvimento, cultive uma consciência básica de segurança e considere a introdução de auditorias de segurança profissionais, a fim de evitar perdas enormes causadas por erros primários semelhantes.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
9 Curtidas
Recompensa
9
6
Compartilhar
Comentário
0/400
SocialFiQueen
· 07-23 06:43
Ninguém testa os contratos, certo?
Ver originalResponder0
JustHereForAirdrops
· 07-23 05:43
Esta vez, idiotas foram presos novamente.
Ver originalResponder0
StableBoi
· 07-23 05:42
Outra vez um grupo amador
Ver originalResponder0
GmGnSleeper
· 07-23 05:38
Esse idiota da equipa do projeto comeu pílulas de tâmara.
O contrato de colecionáveis digitais do Ethereum expôs duas grandes vulnerabilidades, resultando em 34 milhões de dólares em fundos bloqueados.
Recentemente, uma empresa de segurança em blockchain descobriu dois sérios vazamentos em um contrato de colecionáveis digitais, gerando preocupação na indústria. O endereço do contrato está localizado na rede principal do Ethereum, e os problemas envolvidos podem levar ao bloqueio de ativos dos usuários e à impossibilidade de a equipa do projeto retirar fundos.
A primeira vulnerabilidade existe na função de processamento de reembolsos. Esta função faz reembolsos para todos os usuários em um loop, mas se o objeto de reembolso for um contrato malicioso, pode recusar a recepção e fazer a transação reverter, resultando na falha de todo o processo de reembolso. Felizmente, essa vulnerabilidade não foi realmente explorada.
Para a lógica de reembolso deste tipo, especialistas do setor apresentaram algumas recomendações:
O segundo erro foi causado por um descuido na escrita do código. Na função de retirada de fundos da equipa do projeto, há um erro na comparação de condições. Deveria comparar o progresso do reembolso com o índice da proposta, mas foi erroneamente comparado com o número total de propostas. Isso fez com que a condição nunca fosse satisfeita, e os fundos da equipa do projeto (mais de 34 milhões de dólares) ficaram permanentemente bloqueados no contrato.
Este evento levantou novamente preocupações na indústria sobre a segurança dos projetos de colecionáveis digitais. No campo das finanças descentralizadas (DeFi), as auditorias de segurança tornaram-se uma prática comum, mas em projetos de colecionáveis digitais, essa etapa parece ainda ser ignorada. Especialistas apelam para que a equipa do projeto desenvolva casos de teste adequados durante o processo de desenvolvimento, cultive uma consciência básica de segurança e considere a introdução de auditorias de segurança profissionais, a fim de evitar perdas enormes causadas por erros primários semelhantes.