Recientemente, una empresa de seguridad descubrió que un contrato de coleccionables digitales presentaba dos vulnerabilidades graves, lo que generó una amplia atención en la industria. Estas dos vulnerabilidades podrían resultar en consecuencias graves, como el bloqueo de los activos de los usuarios y la incapacidad del equipo detrás del proyecto para retirar fondos.
La primera vulnerabilidad se encuentra en la función de reembolso. Esta función realiza reembolsos para todos los usuarios de forma cíclica, pero si el objeto de reembolso es un contrato malicioso, puede rechazar la recepción y causar que la transacción falle, lo que afectaría el proceso de reembolso de todos los usuarios. Afortunadamente, esta vulnerabilidad aún no ha sido explotada.
En situaciones como esta, los expertos de la industria sugieren que el equipo detrás del proyecto considere los siguientes puntos al diseñar un mecanismo de reembolso: limitar a los participantes solo a cuentas de usuarios comunes, utilizar tokens estables en lugar de activos nativos, diseñar una función que permita a los usuarios solicitar reembolsos activamente en lugar de reembolsos masivos, etc.
El segundo error se debe a un error lógico de comparación en el código. En la función de extracción de fondos del proyecto, hay una sentencia de condición que debería comparar el progreso del reembolso con el índice de la oferta, pero erróneamente se comparó con el número total de ofertas. Esto hizo que la condición nunca se cumpliera, y los fondos del equipo detrás del proyecto quedaron permanentemente bloqueados en el contrato. Según se informa, los fondos actualmente bloqueados superan los 34 millones de dólares.
Este evento ha vuelto a suscitar preocupaciones en la industria sobre la seguridad de los proyectos de coleccionables digitales. A pesar de que en el ámbito de las finanzas descentralizadas, las auditorías de seguridad se han convertido en una práctica habitual, en los proyectos de coleccionables digitales, la auditoría de seguridad parece no recibir la atención suficiente. Los expertos hacen un llamado a que el equipo detrás del proyecto debe redactar casos de prueba adecuados durante el proceso de desarrollo, fomentar una conciencia básica de seguridad y considerar la incorporación de auditorías de seguridad profesionales para evitar pérdidas masivas causadas por errores de bajo nivel.
Este incidente también nos recuerda que, incluso los proyectos conocidos, pueden tener graves riesgos de seguridad. En el rápido desarrollo del ámbito Web3, la seguridad siempre debe ser el factor más importante a considerar.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
5
Republicar
Compartir
Comentar
0/400
OfflineNewbie
· 08-11 03:40
Menos mal que corrí rápido y me escapé.
Ver originalesResponder0
SchrödingersNode
· 08-11 03:35
Tonto y codicioso, se lo merece.
Ver originalesResponder0
SocialFiQueen
· 08-11 03:31
¿Otro proyecto caida a cero?
Ver originalesResponder0
BlockTalk
· 08-11 03:29
El reembolso se ha retrasado nuevamente, no es sorprendente.
Los contratos de coleccionables digitales presentan dos vulnerabilidades importantes, con 34 millones de dólares en fondos bloqueados.
Recientemente, una empresa de seguridad descubrió que un contrato de coleccionables digitales presentaba dos vulnerabilidades graves, lo que generó una amplia atención en la industria. Estas dos vulnerabilidades podrían resultar en consecuencias graves, como el bloqueo de los activos de los usuarios y la incapacidad del equipo detrás del proyecto para retirar fondos.
La primera vulnerabilidad se encuentra en la función de reembolso. Esta función realiza reembolsos para todos los usuarios de forma cíclica, pero si el objeto de reembolso es un contrato malicioso, puede rechazar la recepción y causar que la transacción falle, lo que afectaría el proceso de reembolso de todos los usuarios. Afortunadamente, esta vulnerabilidad aún no ha sido explotada.
En situaciones como esta, los expertos de la industria sugieren que el equipo detrás del proyecto considere los siguientes puntos al diseñar un mecanismo de reembolso: limitar a los participantes solo a cuentas de usuarios comunes, utilizar tokens estables en lugar de activos nativos, diseñar una función que permita a los usuarios solicitar reembolsos activamente en lugar de reembolsos masivos, etc.
El segundo error se debe a un error lógico de comparación en el código. En la función de extracción de fondos del proyecto, hay una sentencia de condición que debería comparar el progreso del reembolso con el índice de la oferta, pero erróneamente se comparó con el número total de ofertas. Esto hizo que la condición nunca se cumpliera, y los fondos del equipo detrás del proyecto quedaron permanentemente bloqueados en el contrato. Según se informa, los fondos actualmente bloqueados superan los 34 millones de dólares.
Este evento ha vuelto a suscitar preocupaciones en la industria sobre la seguridad de los proyectos de coleccionables digitales. A pesar de que en el ámbito de las finanzas descentralizadas, las auditorías de seguridad se han convertido en una práctica habitual, en los proyectos de coleccionables digitales, la auditoría de seguridad parece no recibir la atención suficiente. Los expertos hacen un llamado a que el equipo detrás del proyecto debe redactar casos de prueba adecuados durante el proceso de desarrollo, fomentar una conciencia básica de seguridad y considerar la incorporación de auditorías de seguridad profesionales para evitar pérdidas masivas causadas por errores de bajo nivel.
Este incidente también nos recuerda que, incluso los proyectos conocidos, pueden tener graves riesgos de seguridad. En el rápido desarrollo del ámbito Web3, la seguridad siempre debe ser el factor más importante a considerar.