Fuga de contrato de coleccionables digitales causa bloqueo de activos por 34 millones de dólares, expertos advierten sobre la importancia de la auditoría de seguridad.
Recientemente, una empresa de seguridad descubrió dos graves vulnerabilidades en un contrato de coleccionables digitales, que podrían llevar a que los activos de los usuarios quedaran bloqueados o que el equipo detrás del proyecto no pudiera retirar fondos.
La primera vulnerabilidad se encuentra en la función de procesamiento de reembolsos. Esta función utiliza un bucle para reembolsar a todos los usuarios, pero si el objeto de reembolso es un contrato malicioso, puede rechazar la recepción y provocar que la transacción falle, afectando así la operación de reembolso de todos los usuarios. Afortunadamente, esta vulnerabilidad no ha sido explotada.
Para escenarios de reembolso similares, los expertos sugieren tomar las siguientes medidas de seguridad:
La restricción es que solo las cuentas de usuarios normales pueden participar en el proyecto.
Utilizar tokens (como WETH) en lugar de activos nativos
Diseñar un mecanismo para que los usuarios soliciten activamente el reembolso, evitando reembolsos masivos.
El segundo fallo es un error de código. En la función que permite al equipo detrás del proyecto retirar fondos, hay un bug en la condición de comparación. Esta comparación debería comparar el progreso de reembolso con el índice de la oferta, pero erróneamente se compara con el total de ofertas. Dado que el progreso de reembolso siempre es menor que el total de ofertas, y no aumenta más, la condición nunca se cumple, lo que causa que los fondos del equipo detrás del proyecto queden permanentemente bloqueados en el contrato. Actualmente, más de 34 millones de dólares en activos están bloqueados.
Este evento destaca nuevamente la importancia de la seguridad en los proyectos. Incluso los proyectos conocidos pueden cometer errores básicos. El equipo detrás del proyecto necesita escribir suficientes casos de prueba y cultivar una conciencia básica de seguridad. Aunque en el ámbito de las finanzas descentralizadas, las auditorías de seguridad se han vuelto prácticas comunes, en los proyectos de coleccionables digitales aún hay deficiencias, y este evento ha causado pérdidas enormes.
Este evento nos recuerda que, independientemente del tamaño del proyecto, debemos dar importancia a la seguridad de los contratos inteligentes y realizar auditorías de seguridad exhaustivas para prevenir la ocurrencia de problemas similares.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
9
Republicar
Compartir
Comentar
0/400
0xLuckbox
· hace19h
Otra trampa de contratos inteligentes ha sido eliminada. Vieja táctica.
Ver originalesResponder0
AirdropBlackHole
· 08-11 01:01
Esta es la mejor forma de tomar a la gente por tonta.
Ver originalesResponder0
QuorumVoter
· 08-10 10:39
El viejo ingeniero no pudo evitar exclamar que es un experto.
Ver originalesResponder0
ShadowStaker
· 08-10 10:18
ejemplo clásico de mala arquitectura de gobernanza smh...
Ver originalesResponder0
MevTears
· 08-10 10:17
Los accidentes de contratos se han vuelto algo habitual.
Ver originalesResponder0
CryptoPunster
· 08-10 10:17
Gánster de gánster seguro Todo dentro depende de la suerte
Ver originalesResponder0
AirdropCollector
· 08-10 10:16
Reducir pérdidas corre bien, ni siquiera puedo recuperar mi inversión.
Ver originalesResponder0
BearMarketSurvivor
· 08-10 10:10
¡No saben escribir código y aún se atreven a jugar con contratos inteligentes!
Ver originalesResponder0
HalfIsEmpty
· 08-10 10:02
Una vez más, la falta de inspección perjudica a uno mismo y a los demás.
Fuga de contrato de coleccionables digitales causa bloqueo de activos por 34 millones de dólares, expertos advierten sobre la importancia de la auditoría de seguridad.
Recientemente, una empresa de seguridad descubrió dos graves vulnerabilidades en un contrato de coleccionables digitales, que podrían llevar a que los activos de los usuarios quedaran bloqueados o que el equipo detrás del proyecto no pudiera retirar fondos.
La primera vulnerabilidad se encuentra en la función de procesamiento de reembolsos. Esta función utiliza un bucle para reembolsar a todos los usuarios, pero si el objeto de reembolso es un contrato malicioso, puede rechazar la recepción y provocar que la transacción falle, afectando así la operación de reembolso de todos los usuarios. Afortunadamente, esta vulnerabilidad no ha sido explotada.
Para escenarios de reembolso similares, los expertos sugieren tomar las siguientes medidas de seguridad:
El segundo fallo es un error de código. En la función que permite al equipo detrás del proyecto retirar fondos, hay un bug en la condición de comparación. Esta comparación debería comparar el progreso de reembolso con el índice de la oferta, pero erróneamente se compara con el total de ofertas. Dado que el progreso de reembolso siempre es menor que el total de ofertas, y no aumenta más, la condición nunca se cumple, lo que causa que los fondos del equipo detrás del proyecto queden permanentemente bloqueados en el contrato. Actualmente, más de 34 millones de dólares en activos están bloqueados.
Este evento destaca nuevamente la importancia de la seguridad en los proyectos. Incluso los proyectos conocidos pueden cometer errores básicos. El equipo detrás del proyecto necesita escribir suficientes casos de prueba y cultivar una conciencia básica de seguridad. Aunque en el ámbito de las finanzas descentralizadas, las auditorías de seguridad se han vuelto prácticas comunes, en los proyectos de coleccionables digitales aún hay deficiencias, y este evento ha causado pérdidas enormes.
Este evento nos recuerda que, independientemente del tamaño del proyecto, debemos dar importancia a la seguridad de los contratos inteligentes y realizar auditorías de seguridad exhaustivas para prevenir la ocurrencia de problemas similares.