Recientemente, se descubrieron dos graves vulnerabilidades en el contrato inteligente de un conocido proyecto de coleccionables digitales, lo que ha generado una amplia atención en la industria. El equipo de seguridad, al analizar el contrato del proyecto, identificó estos riesgos potenciales.
El primer defecto está relacionado con el mecanismo de reembolso. La función de reembolso en el contrato utiliza un método de bucle para reembolsar a los usuarios, pero este diseño tiene un defecto grave. Si una dirección que recibe el reembolso es un contrato malicioso, puede rechazar la recepción y provocar que la transacción falle, lo que a su vez afecta el proceso de reembolso de todos los demás usuarios. Afortunadamente, esta vulnerabilidad no ha sido explotada en la práctica.
Para este tipo de situaciones, los expertos en seguridad sugieren que los desarrolladores del proyecto pueden tomar las siguientes medidas para garantizar la seguridad de los reembolsos:
La participación en el proyecto está limitada solo a cuentas de usuarios normales.
Utilizar tokens ERC20 como WETH en lugar de activos nativos
Diseñar un mecanismo que permita a los usuarios solicitar reembolsos de forma proactiva, evitando reembolsos en masa.
El segundo fallo se debe a un error lógico en el código. En la función para extraer los fondos del proyecto, hay una declaración condicional que debería comparar dos variables específicas, pero se utilizó incorrectamente otra variable para la comparación. Esto hace que la condición nunca se cumpla, y el equipo del proyecto no puede extraer los activos del contrato. Se estima que actualmente hay más de 34 millones de dólares en activos bloqueados permanentemente en el contrato.
Este evento destaca nuevamente que incluso los proyectos conocidos pueden tener errores fundamentales. Nos recuerda que, en el proceso de desarrollo, un conjunto completo de casos de prueba y una conciencia básica de seguridad son indispensables. Aunque en el campo de DeFi, la auditoría de seguridad se ha convertido en una práctica habitual, en los proyectos de coleccionables digitales, este aspecto parece seguir siendo ignorado. Esta gran pérdida es directamente consecuencia de la falta de auditoría de seguridad.
Este evento debería servir como una advertencia para toda la industria, recordando a todos los participantes la importancia de la seguridad de los contratos inteligentes, y fortalecer los procesos de auditoría y prueba de código para prevenir pérdidas significativas similares en el futuro.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
13 me gusta
Recompensa
13
4
Compartir
Comentar
0/400
HodlKumamon
· hace3h
El balón ha terminado, la probabilidad de error en la lógica de extracción del usuario es un fracaso del cien por ciento.
Ver originalesResponder0
shadowy_supercoder
· hace10h
¿Qué hacen las empresas de auditoría?
Ver originalesResponder0
BlockchainWorker
· 07-20 20:31
¿Los contratos inteligentes vuelven a fallar? Esperando a ver el espectáculo.
Un conocido proyecto de coleccionables digitales tiene un fallo en su contrato inteligente que ha bloqueado 34 millones de dólares.
Recientemente, se descubrieron dos graves vulnerabilidades en el contrato inteligente de un conocido proyecto de coleccionables digitales, lo que ha generado una amplia atención en la industria. El equipo de seguridad, al analizar el contrato del proyecto, identificó estos riesgos potenciales.
El primer defecto está relacionado con el mecanismo de reembolso. La función de reembolso en el contrato utiliza un método de bucle para reembolsar a los usuarios, pero este diseño tiene un defecto grave. Si una dirección que recibe el reembolso es un contrato malicioso, puede rechazar la recepción y provocar que la transacción falle, lo que a su vez afecta el proceso de reembolso de todos los demás usuarios. Afortunadamente, esta vulnerabilidad no ha sido explotada en la práctica.
Para este tipo de situaciones, los expertos en seguridad sugieren que los desarrolladores del proyecto pueden tomar las siguientes medidas para garantizar la seguridad de los reembolsos:
El segundo fallo se debe a un error lógico en el código. En la función para extraer los fondos del proyecto, hay una declaración condicional que debería comparar dos variables específicas, pero se utilizó incorrectamente otra variable para la comparación. Esto hace que la condición nunca se cumpla, y el equipo del proyecto no puede extraer los activos del contrato. Se estima que actualmente hay más de 34 millones de dólares en activos bloqueados permanentemente en el contrato.
Este evento destaca nuevamente que incluso los proyectos conocidos pueden tener errores fundamentales. Nos recuerda que, en el proceso de desarrollo, un conjunto completo de casos de prueba y una conciencia básica de seguridad son indispensables. Aunque en el campo de DeFi, la auditoría de seguridad se ha convertido en una práctica habitual, en los proyectos de coleccionables digitales, este aspecto parece seguir siendo ignorado. Esta gran pérdida es directamente consecuencia de la falta de auditoría de seguridad.
Este evento debería servir como una advertencia para toda la industria, recordando a todos los participantes la importancia de la seguridad de los contratos inteligentes, y fortalecer los procesos de auditoría y prueba de código para prevenir pérdidas significativas similares en el futuro.