Recentemente, um contrato inteligente de um projeto de colecionáveis digitais foi encontrado com duas falhas graves, gerando uma ampla atenção na indústria. Essas duas falhas podem resultar em consequências severas, incluindo a impossibilidade de desbloquear ativos dos usuários e a impossibilidade da equipa do projeto retirar fundos.
A primeira vulnerabilidade surgiu na função de processamento de reembolsos. Esta função usa um loop para reembolsar todos os usuários, mas se o objeto de reembolso for um contrato malicioso, pode levar à interrupção de todo o processo de reembolso. Embora esta vulnerabilidade não tenha sido explorada, ainda existe um risco potencial.
Para evitar problemas similares, recomenda-se que a equipa do projeto considere os seguintes pontos ao projetar o mecanismo de reembolso:
Restringir que os participantes sejam apenas contas externas (EOA)
Utilizar ativos padronizados como tokens ERC20 em vez de ativos nativos
Implementar a funcionalidade de reembolso ativo pelos usuários, em vez de reembolsos em massa
A segunda vulnerabilidade é ainda mais grave, pois afeta diretamente a função da equipa do projeto de retirar fundos. Na função de retirada de fundos, há um erro lógico que faz com que a condição de verificação nunca possa ser satisfeita. Este erro resultou na permanência de mais de 34 milhões de dólares em ativos bloqueados permanentemente no contrato, impossibilitando a sua retirada.
A descoberta dessas duas vulnerabilidades destaca novamente a importância da auditoria de segurança no processo de desenvolvimento de projetos. Embora na área de finanças descentralizadas (DeFi) a auditoria de segurança tenha se tornado uma prática comum, nesta categoria de projetos de colecionáveis digitais, essa etapa ainda parece ser negligenciada. Os enormes prejuízos causados por este incidente, sem dúvida, soaram o alarme para a indústria.
A equipa do projeto, durante o processo de desenvolvimento, não só precisa de elaborar casos de teste abrangentes, como também deve ter uma consciência básica de segurança. Especialmente para projetos conhecidos, é surpreendente que erros tão primários ocorram. Este evento também nos lembra que, mesmo projetos altamente visíveis, podem ter sérias vulnerabilidades de segurança.
No geral, este incidente enfatiza novamente que a segurança é tão importante quanto a funcionalidade no desenvolvimento de projetos de blockchain. A equipa do projeto deve dar importância à auditoria de código e estabelecer mecanismos de segurança adequados para proteger os interesses dos usuários e os seus próprios. Ao mesmo tempo, isso também serve como um alerta para toda a indústria, lembrando todos os participantes de manterem-se vigilantes e de trabalharem juntos para preservar o desenvolvimento saudável do ecossistema.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
9 Curtidas
Recompensa
9
6
Repostar
Compartilhar
Comentário
0/400
GhostInTheChain
· 22h atrás
Outra vez um contratos inteligentes frio~
Ver originalResponder0
NFTArchaeologis
· 08-13 18:03
Com base na história das vulnerabilidades do Meebits de anteontem, este é um clássico problema de normas na cadeia.
Ver originalResponder0
SchrodingersFOMO
· 08-13 18:01
Outra vez fizeram as pessoas de parvas e escaparam.
Ver originalResponder0
GamefiEscapeArtist
· 08-13 17:59
Outra explosão de contratos inteligentes, não é?
Ver originalResponder0
MetaNeighbor
· 08-13 17:39
Já estás a tocar guitarra outra vez? Três milhões não conseguem ser levantados.
Vulnerabilidades em projetos de colecionáveis digitais expostas, 34 milhões de dólares em ativos permanentemente bloqueados.
Recentemente, um contrato inteligente de um projeto de colecionáveis digitais foi encontrado com duas falhas graves, gerando uma ampla atenção na indústria. Essas duas falhas podem resultar em consequências severas, incluindo a impossibilidade de desbloquear ativos dos usuários e a impossibilidade da equipa do projeto retirar fundos.
A primeira vulnerabilidade surgiu na função de processamento de reembolsos. Esta função usa um loop para reembolsar todos os usuários, mas se o objeto de reembolso for um contrato malicioso, pode levar à interrupção de todo o processo de reembolso. Embora esta vulnerabilidade não tenha sido explorada, ainda existe um risco potencial.
Para evitar problemas similares, recomenda-se que a equipa do projeto considere os seguintes pontos ao projetar o mecanismo de reembolso:
A segunda vulnerabilidade é ainda mais grave, pois afeta diretamente a função da equipa do projeto de retirar fundos. Na função de retirada de fundos, há um erro lógico que faz com que a condição de verificação nunca possa ser satisfeita. Este erro resultou na permanência de mais de 34 milhões de dólares em ativos bloqueados permanentemente no contrato, impossibilitando a sua retirada.
A descoberta dessas duas vulnerabilidades destaca novamente a importância da auditoria de segurança no processo de desenvolvimento de projetos. Embora na área de finanças descentralizadas (DeFi) a auditoria de segurança tenha se tornado uma prática comum, nesta categoria de projetos de colecionáveis digitais, essa etapa ainda parece ser negligenciada. Os enormes prejuízos causados por este incidente, sem dúvida, soaram o alarme para a indústria.
A equipa do projeto, durante o processo de desenvolvimento, não só precisa de elaborar casos de teste abrangentes, como também deve ter uma consciência básica de segurança. Especialmente para projetos conhecidos, é surpreendente que erros tão primários ocorram. Este evento também nos lembra que, mesmo projetos altamente visíveis, podem ter sérias vulnerabilidades de segurança.
No geral, este incidente enfatiza novamente que a segurança é tão importante quanto a funcionalidade no desenvolvimento de projetos de blockchain. A equipa do projeto deve dar importância à auditoria de código e estabelecer mecanismos de segurança adequados para proteger os interesses dos usuários e os seus próprios. Ao mesmo tempo, isso também serve como um alerta para toda a indústria, lembrando todos os participantes de manterem-se vigilantes e de trabalharem juntos para preservar o desenvolvimento saudável do ecossistema.