Récemment, un smart contract d'un projet de collection numérique bien connu a été découvert avec deux graves vulnérabilités, suscitant un large suivi dans l'industrie. Une analyse par une société de sécurité a révélé que le contrat du projet présente un risque d'attaque DoS pouvant entraîner le blocage des actifs des utilisateurs, ainsi qu'un défaut majeur empêchant le projet de fête de retirer des fonds.
Le premier défaut se trouve dans la fonction de traitement des remboursements. Cette fonction effectue des remboursements aux utilisateurs de manière itérative, mais si l'objet de remboursement est un contrat malveillant, cela peut entraîner le refus d'exécution de la transaction, affectant ainsi les opérations de remboursement de tous les utilisateurs. Bien que ce défaut n'ait finalement pas été exploité, il a néanmoins révélé des vulnérabilités de sécurité dans le projet.
Pour de telles situations, les experts recommandent que le projet de fête puisse prendre les mesures suivantes pour améliorer la sécurité des remboursements :
Limiter les types d'utilisateurs participants, seuls les comptes d'utilisateurs ordinaires sont autorisés à participer.
Utiliser des actifs standardisés tels que des jetons ERC20, éviter d'utiliser directement des jetons natifs.
Concevoir un mécanisme permettant aux utilisateurs de demander activement un remboursement, remplaçant ainsi l'opération de remboursement en masse.
Le deuxième bug est causé par une erreur de codage. Dans la fonction d'extraction des fonds du projet, une instruction conditionnelle clé a été incorrectement écrite. Les deux variables qui devaient être comparées ont été échangées par erreur, rendant la condition toujours insatisfaisable. Cela a directement entraîné le verrouillage permanent de plus de 34 millions de dollars de fonds du projet dans le contrat, impossibles à extraire.
Cet événement a de nouveau suscité des inquiétudes dans l'industrie concernant la sécurité des projets de NFT. Bien que le domaine de la DeFi accorde déjà une grande importance aux audits de sécurité, il semble que les projets de NFT ne reçoivent pas encore suffisamment d'attention à cet égard. Cette négligence pourrait entraîner des pertes considérables et affecter la santé globale de l'industrie.
Les experts appellent les projets de fête de biens numériques à renforcer leur sensibilisation à la sécurité, à rédiger des cas de test suffisants au cours du processus de développement et à cultiver une pensée de sécurité de base. Parallèlement, l'introduction d'audits de sécurité professionnels est devenue une nécessité pour réduire les risques. Ce n'est qu'en améliorant réellement la sécurité des projets que l'on pourra éviter la récurrence d'événements similaires et protéger les intérêts des utilisateurs et des projets de fête.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
20 J'aime
Récompense
20
6
Partager
Commentaire
0/400
PhantomMiner
· 08-04 13:20
Avec un tel QI, tu oses émettre un contrat ?
Voir l'originalRépondre0
AirdropSweaterFan
· 08-04 11:25
Encore un planté, les gens dans le cercle sont inquiets.
Voir l'originalRépondre0
AirdropBlackHole
· 08-01 22:29
Aïe, qui oserait encore jouer à ça ?
Voir l'originalRépondre0
AirdropHarvester
· 08-01 22:15
Encore une machine à prendre les gens pour des idiots qui a échoué.
Voir l'originalRépondre0
GateUser-00be86fc
· 08-01 22:14
Zut zut, encore un site de crash de smart contracts.
Voir l'originalRépondre0
quiet_lurker
· 08-01 22:12
Encore une fois, les smart contracts font défaut. Quand l'industrie va-t-elle apprendre de ses erreurs ?
Le contrat du projet de collection numérique présente une vulnérabilité majeure, 34 millions de dollars de fonds sont bloqués.
Récemment, un smart contract d'un projet de collection numérique bien connu a été découvert avec deux graves vulnérabilités, suscitant un large suivi dans l'industrie. Une analyse par une société de sécurité a révélé que le contrat du projet présente un risque d'attaque DoS pouvant entraîner le blocage des actifs des utilisateurs, ainsi qu'un défaut majeur empêchant le projet de fête de retirer des fonds.
Le premier défaut se trouve dans la fonction de traitement des remboursements. Cette fonction effectue des remboursements aux utilisateurs de manière itérative, mais si l'objet de remboursement est un contrat malveillant, cela peut entraîner le refus d'exécution de la transaction, affectant ainsi les opérations de remboursement de tous les utilisateurs. Bien que ce défaut n'ait finalement pas été exploité, il a néanmoins révélé des vulnérabilités de sécurité dans le projet.
Pour de telles situations, les experts recommandent que le projet de fête puisse prendre les mesures suivantes pour améliorer la sécurité des remboursements :
Le deuxième bug est causé par une erreur de codage. Dans la fonction d'extraction des fonds du projet, une instruction conditionnelle clé a été incorrectement écrite. Les deux variables qui devaient être comparées ont été échangées par erreur, rendant la condition toujours insatisfaisable. Cela a directement entraîné le verrouillage permanent de plus de 34 millions de dollars de fonds du projet dans le contrat, impossibles à extraire.
Cet événement a de nouveau suscité des inquiétudes dans l'industrie concernant la sécurité des projets de NFT. Bien que le domaine de la DeFi accorde déjà une grande importance aux audits de sécurité, il semble que les projets de NFT ne reçoivent pas encore suffisamment d'attention à cet égard. Cette négligence pourrait entraîner des pertes considérables et affecter la santé globale de l'industrie.
Les experts appellent les projets de fête de biens numériques à renforcer leur sensibilisation à la sécurité, à rédiger des cas de test suffisants au cours du processus de développement et à cultiver une pensée de sécurité de base. Parallèlement, l'introduction d'audits de sécurité professionnels est devenue une nécessité pour réduire les risques. Ce n'est qu'en améliorant réellement la sécurité des projets que l'on pourra éviter la récurrence d'événements similaires et protéger les intérêts des utilisateurs et des projets de fête.