Recentemente, uma empresa de segurança descobriu que um contrato de colecionáveis digitais apresenta duas falhas graves, o que gerou ampla preocupação na indústria. Estas duas falhas podem resultar em consequências sérias, como a possibilidade de os ativos dos usuários serem bloqueados e a equipa do projeto não conseguir retirar os fundos.
A primeira vulnerabilidade existe na função de reembolso. Esta função faz reembolsos para todos os utilizadores de forma cíclica, mas se o objeto de reembolso for um contrato malicioso, pode recusar-se a aceitar e causar a falha da transação, afetando assim o processo de reembolso de todos os utilizadores. Felizmente, esta vulnerabilidade ainda não foi explorada.
Para situações como esta, especialistas da indústria sugerem que a equipa do projeto considere os seguintes pontos ao desenhar um mecanismo de reembolso: limitar os participantes a apenas contas de usuários comuns, utilizar stablecoins em vez de ativos nativos, e desenhar uma funcionalidade que permita aos usuários solicitar ativamente o reembolso em vez de reembolsos em massa.
O segundo erro foi causado por um erro lógico de comparação no código. Na função de extração de fundos do projeto, existe uma instrução de condição que deveria comparar o progresso do reembolso com o índice da oferta, mas que foi erroneamente comparada com o número total de ofertas. Isso fez com que a condição nunca pudesse ser satisfeita, resultando no bloqueio permanente dos fundos da equipa do projeto no contrato. Sabe-se que atualmente os fundos bloqueados já ultrapassam 34 milhões de dólares.
Este evento levantou novamente preocupações na indústria sobre a segurança dos projetos de coleções digitais. Embora, no campo da finança descentralizada, as auditorias de segurança tenham se tornado uma prática comum, nos projetos de coleções digitais, as auditorias de segurança parecem ainda não receber a devida atenção. Especialistas pedem que a equipa do projeto escreva casos de teste adequados durante o processo de desenvolvimento, desenvolva uma consciência básica de segurança e considere a introdução de auditorias de segurança profissionais, para evitar perdas enormes causadas por erros básicos semelhantes.
Este incidente também nos lembra que, mesmo projetos conhecidos, podem apresentar sérias vulnerabilidades de segurança. No rápido desenvolvimento do setor Web3, a segurança deve sempre ser o fator primordial a considerar.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
13 Curtidas
Recompensa
13
5
Repostar
Compartilhar
Comentário
0/400
OfflineNewbie
· 3h atrás
Ainda bem que eu corri rápido e escapei.
Ver originalResponder0
SchrödingersNode
· 3h atrás
Tanto estúpido como ganancioso, mereceu.
Ver originalResponder0
SocialFiQueen
· 3h atrás
Outro projeto a cair para zero?
Ver originalResponder0
BlockTalk
· 3h atrás
O reembolso ficou bloqueado novamente, não é surpresa.
O contrato de colecionáveis digitais apresenta duas vulnerabilidades significativas, resultando em 34 milhões de dólares em fundos bloqueados.
Recentemente, uma empresa de segurança descobriu que um contrato de colecionáveis digitais apresenta duas falhas graves, o que gerou ampla preocupação na indústria. Estas duas falhas podem resultar em consequências sérias, como a possibilidade de os ativos dos usuários serem bloqueados e a equipa do projeto não conseguir retirar os fundos.
A primeira vulnerabilidade existe na função de reembolso. Esta função faz reembolsos para todos os utilizadores de forma cíclica, mas se o objeto de reembolso for um contrato malicioso, pode recusar-se a aceitar e causar a falha da transação, afetando assim o processo de reembolso de todos os utilizadores. Felizmente, esta vulnerabilidade ainda não foi explorada.
Para situações como esta, especialistas da indústria sugerem que a equipa do projeto considere os seguintes pontos ao desenhar um mecanismo de reembolso: limitar os participantes a apenas contas de usuários comuns, utilizar stablecoins em vez de ativos nativos, e desenhar uma funcionalidade que permita aos usuários solicitar ativamente o reembolso em vez de reembolsos em massa.
O segundo erro foi causado por um erro lógico de comparação no código. Na função de extração de fundos do projeto, existe uma instrução de condição que deveria comparar o progresso do reembolso com o índice da oferta, mas que foi erroneamente comparada com o número total de ofertas. Isso fez com que a condição nunca pudesse ser satisfeita, resultando no bloqueio permanente dos fundos da equipa do projeto no contrato. Sabe-se que atualmente os fundos bloqueados já ultrapassam 34 milhões de dólares.
Este evento levantou novamente preocupações na indústria sobre a segurança dos projetos de coleções digitais. Embora, no campo da finança descentralizada, as auditorias de segurança tenham se tornado uma prática comum, nos projetos de coleções digitais, as auditorias de segurança parecem ainda não receber a devida atenção. Especialistas pedem que a equipa do projeto escreva casos de teste adequados durante o processo de desenvolvimento, desenvolva uma consciência básica de segurança e considere a introdução de auditorias de segurança profissionais, para evitar perdas enormes causadas por erros básicos semelhantes.
Este incidente também nos lembra que, mesmo projetos conhecidos, podem apresentar sérias vulnerabilidades de segurança. No rápido desenvolvimento do setor Web3, a segurança deve sempre ser o fator primordial a considerar.