Récemment, une société de sécurité a découvert deux graves vulnérabilités dans un contrat de collection numérique, suscitant une large attention dans l'industrie. Ces deux vulnérabilités pourraient respectivement entraîner le blocage des actifs des utilisateurs et l'incapacité pour le projet de fête de retirer des fonds.
Le premier exploit se trouve dans la fonction de remboursement. Cette fonction effectue des remboursements pour tous les utilisateurs de manière itérative, mais si l'objet de remboursement est un contrat malveillant, il peut refuser de recevoir et entraîner un échec de la transaction, ce qui affecte le processus de remboursement de tous les utilisateurs. Heureusement, cette vulnérabilité n'a pas encore été exploitée.
Pour ce type de situation, les experts de l'industrie suggèrent que le projet de fête prenne en compte les points suivants lors de la conception d'un mécanisme de remboursement : limiter les participants aux comptes d'utilisateurs ordinaires, utiliser des stablecoins plutôt que des actifs natifs, concevoir une fonction permettant aux utilisateurs de réclamer activement un remboursement plutôt que de procéder à des remboursements en masse, etc.
Le deuxième défaut est dû à une erreur de logique de comparaison dans le code. Dans la fonction d'extraction des fonds du projet, il y a une instruction de condition qui aurait dû comparer l'avancement du remboursement et l'index de l'enchère, mais qui compare à tort avec le nombre total d'enchères. Cela a conduit à ce que la condition ne puisse jamais être satisfaite, et les fonds du projet de fête sont donc définitivement bloqués dans le contrat. Selon les informations, les fonds actuellement bloqués dépassent 34 millions de dollars.
Cet événement a de nouveau suscité des inquiétudes dans l'industrie concernant la sécurité des projets de numérique. Bien que l'audit de sécurité soit devenu une pratique courante dans le domaine de la finance décentralisée, il semble que dans les projets de numérique, l'audit de sécurité n'ait pas encore reçu une attention suffisante. Les experts appellent le projet de fête à rédiger des cas de test adéquats pendant le processus de développement, à cultiver une conscience de sécurité de base et à envisager l'introduction d'audits de sécurité professionnels pour éviter des pertes énormes causées par des erreurs de niveau bas.
Cet incident nous rappelle une fois de plus que même les projets connus peuvent présenter de graves risques de sécurité. Dans le domaine en rapide évolution du Web3, la sécurité doit toujours être un facteur prioritaire.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
5
Reposter
Partager
Commentaire
0/400
OfflineNewbie
· Il y a 6h
Heureusement, j'ai couru vite et je me suis échappé.
Voir l'originalRépondre0
SchrödingersNode
· Il y a 6h
À la fois stupide et avare, c'est bien fait.
Voir l'originalRépondre0
SocialFiQueen
· Il y a 6h
Encore un projet chute à zéro ?
Voir l'originalRépondre0
BlockTalk
· Il y a 6h
Le remboursement est encore bloqué, ce n'est pas surprenant.
Le contrat des actifs numériques présente maintenant deux vulnérabilités majeures, avec 34 millions de dollars de fonds bloqués.
Récemment, une société de sécurité a découvert deux graves vulnérabilités dans un contrat de collection numérique, suscitant une large attention dans l'industrie. Ces deux vulnérabilités pourraient respectivement entraîner le blocage des actifs des utilisateurs et l'incapacité pour le projet de fête de retirer des fonds.
Le premier exploit se trouve dans la fonction de remboursement. Cette fonction effectue des remboursements pour tous les utilisateurs de manière itérative, mais si l'objet de remboursement est un contrat malveillant, il peut refuser de recevoir et entraîner un échec de la transaction, ce qui affecte le processus de remboursement de tous les utilisateurs. Heureusement, cette vulnérabilité n'a pas encore été exploitée.
Pour ce type de situation, les experts de l'industrie suggèrent que le projet de fête prenne en compte les points suivants lors de la conception d'un mécanisme de remboursement : limiter les participants aux comptes d'utilisateurs ordinaires, utiliser des stablecoins plutôt que des actifs natifs, concevoir une fonction permettant aux utilisateurs de réclamer activement un remboursement plutôt que de procéder à des remboursements en masse, etc.
Le deuxième défaut est dû à une erreur de logique de comparaison dans le code. Dans la fonction d'extraction des fonds du projet, il y a une instruction de condition qui aurait dû comparer l'avancement du remboursement et l'index de l'enchère, mais qui compare à tort avec le nombre total d'enchères. Cela a conduit à ce que la condition ne puisse jamais être satisfaite, et les fonds du projet de fête sont donc définitivement bloqués dans le contrat. Selon les informations, les fonds actuellement bloqués dépassent 34 millions de dollars.
Cet événement a de nouveau suscité des inquiétudes dans l'industrie concernant la sécurité des projets de numérique. Bien que l'audit de sécurité soit devenu une pratique courante dans le domaine de la finance décentralisée, il semble que dans les projets de numérique, l'audit de sécurité n'ait pas encore reçu une attention suffisante. Les experts appellent le projet de fête à rédiger des cas de test adéquats pendant le processus de développement, à cultiver une conscience de sécurité de base et à envisager l'introduction d'audits de sécurité professionnels pour éviter des pertes énormes causées par des erreurs de niveau bas.
Cet incident nous rappelle une fois de plus que même les projets connus peuvent présenter de graves risques de sécurité. Dans le domaine en rapide évolution du Web3, la sécurité doit toujours être un facteur prioritaire.