Recentemente, um conhecido projeto de colecionáveis digitais teve seus contratos inteligentes descobertos com duas vulnerabilidades sérias, causando ampla atenção na indústria. A equipe de segurança, ao analisar os contratos do projeto, identificou esses riscos potenciais.
A primeira vulnerabilidade está relacionada com o mecanismo de reembolso. A função de reembolso no contrato utiliza um método de loop para reembolsar os usuários, mas este design tem uma falha significativa. Se um endereço que recebe o reembolso for um contrato malicioso, ele pode recusar o recebimento e causar a falha da transação, afetando assim o processo de reembolso de todos os outros usuários. Felizmente, essa vulnerabilidade não foi realmente explorada.
Para situações como esta, os especialistas em segurança aconselham que as equipas de projeto adotem as seguintes medidas para garantir a segurança dos reembolsos:
A restrição é que apenas contas de usuários comuns podem participar do projeto
Usar tokens ERC20 como WETH em vez de ativos nativos
Criar um mecanismo que permita aos usuários solicitar reembolsos ativamente, evitando reembolsos em massa.
O segundo erro é causado por um erro lógico no código. Na função de extração de fundos do projeto, há uma instrução de condição que deveria comparar duas variáveis específicas, mas erroneamente usou outra variável para a comparação. Isso fez com que a condição nunca fosse satisfeita, e a equipe do projeto não consegue retirar os ativos do contrato. Estima-se que atualmente mais de 34 milhões de dólares em ativos estejam permanentemente bloqueados no contrato.
Este evento destaca novamente que até mesmo projetos conhecidos podem apresentar erros fundamentais. Lembra-nos que, durante o processo de desenvolvimento, um conjunto abrangente de casos de teste e uma consciência básica de segurança são indispensáveis. Embora na área DeFi a auditoria de segurança tenha se tornado uma prática comum, em projetos de colecionáveis digitais, essa fase ainda parece ser ignorada. A enorme perda desta vez é uma consequência direta da falta de auditoria de segurança.
Este evento deve servir de alerta para todo o setor, lembrando todos os participantes da importância da segurança dos contratos inteligentes, reforçando a auditoria e os processos de teste do código, a fim de evitar que perdas significativas semelhantes ocorram novamente.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
13 gostos
Recompensa
13
4
Partilhar
Comentar
0/400
HodlKumamon
· 4h atrás
Falhou completamente, a probabilidade de erro na lógica de extração do usuário é de cem por cento.
Ver originalResponder0
shadowy_supercoder
· 10h atrás
O que fazem as empresas de auditoria?
Ver originalResponder0
BlockchainWorker
· 07-20 20:31
contratos inteligentes novamente deram errado? Vamos esperar para ver.
Vulnerabilidade em contratos inteligentes de um conhecido projeto de colecionáveis digitais leva ao bloqueio de 34 milhões de dólares.
Recentemente, um conhecido projeto de colecionáveis digitais teve seus contratos inteligentes descobertos com duas vulnerabilidades sérias, causando ampla atenção na indústria. A equipe de segurança, ao analisar os contratos do projeto, identificou esses riscos potenciais.
A primeira vulnerabilidade está relacionada com o mecanismo de reembolso. A função de reembolso no contrato utiliza um método de loop para reembolsar os usuários, mas este design tem uma falha significativa. Se um endereço que recebe o reembolso for um contrato malicioso, ele pode recusar o recebimento e causar a falha da transação, afetando assim o processo de reembolso de todos os outros usuários. Felizmente, essa vulnerabilidade não foi realmente explorada.
Para situações como esta, os especialistas em segurança aconselham que as equipas de projeto adotem as seguintes medidas para garantir a segurança dos reembolsos:
O segundo erro é causado por um erro lógico no código. Na função de extração de fundos do projeto, há uma instrução de condição que deveria comparar duas variáveis específicas, mas erroneamente usou outra variável para a comparação. Isso fez com que a condição nunca fosse satisfeita, e a equipe do projeto não consegue retirar os ativos do contrato. Estima-se que atualmente mais de 34 milhões de dólares em ativos estejam permanentemente bloqueados no contrato.
Este evento destaca novamente que até mesmo projetos conhecidos podem apresentar erros fundamentais. Lembra-nos que, durante o processo de desenvolvimento, um conjunto abrangente de casos de teste e uma consciência básica de segurança são indispensáveis. Embora na área DeFi a auditoria de segurança tenha se tornado uma prática comum, em projetos de colecionáveis digitais, essa fase ainda parece ser ignorada. A enorme perda desta vez é uma consequência direta da falta de auditoria de segurança.
Este evento deve servir de alerta para todo o setor, lembrando todos os participantes da importância da segurança dos contratos inteligentes, reforçando a auditoria e os processos de teste do código, a fim de evitar que perdas significativas semelhantes ocorram novamente.