Recentemente, um contrato inteligente de um conhecido projeto de coleções digitais foi encontrado com duas vulnerabilidades graves, gerando ampla atenção na indústria. Análises de empresas de segurança descobriram que o contrato do projeto apresenta riscos de ataque DoS que podem levar ao bloqueio de ativos dos usuários, além de uma falha significativa que impede a equipa do projeto de retirar fundos.
A primeira vulnerabilidade está na função de processamento de reembolsos. Essa função realiza reembolsos para os usuários de forma cíclica, mas se o objeto de reembolso for um contrato malicioso, isso pode resultar na rejeição da execução da transação, afetando assim as operações de reembolso de todos os usuários. Embora essa vulnerabilidade não tenha sido explorada, ainda expôs riscos de segurança do projeto.
Para situações como esta, os especialistas recomendam que a equipa do projeto possa tomar as seguintes medidas para aumentar a segurança dos reembolsos:
Restringir o tipo de utilizadores que podem participar, permitindo apenas contas de utilizadores comuns.
Usar ativos padronizados como tokens ERC20, evitando o uso direto de tokens nativos.
Projetar um mecanismo que permita aos usuários solicitar reembolsos ativamente, substituindo a operação de reembolso em massa.
O segundo erro é causado por um erro de codificação. Na função de extração de fundos do projeto, uma declaração condicional crítica apresentou um erro. As duas variáveis que deveriam ser comparadas foram trocadas incorretamente, fazendo com que a condição nunca fosse satisfeita. Isso resultou diretamente na impossibilidade de retirar mais de 34 milhões de dólares em fundos do projeto, que ficaram permanentemente bloqueados no contrato.
Este evento levantou novamente preocupações na indústria sobre a segurança dos projetos de colecionáveis digitais. Embora o setor DeFi já preste atenção à auditoria de segurança, nos projetos de colecionáveis digitais, a auditoria de segurança parece ainda não ter recebido a devida atenção. Essa negligência pode levar a perdas enormes, afetando o desenvolvimento saudável de toda a indústria.
Especialistas pedem que as equipas do projeto de coleções digitais aumentem a consciência de segurança, escrevendo casos de teste adequados durante o processo de desenvolvimento e cultivando um pensamento básico de segurança. Ao mesmo tempo, a introdução de auditorias de segurança profissionais tornou-se um meio necessário para reduzir riscos. Apenas ao aumentar efetivamente a segurança do projeto é que se poderá evitar a repetição de eventos semelhantes, protegendo os interesses dos usuários e das equipas do projeto.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
20 gostos
Recompensa
20
6
Partilhar
Comentar
0/400
PhantomMiner
· 08-04 13:20
Com essa inteligência, ainda se atreve a emitir contratos?
Ver originalResponder0
AirdropSweaterFan
· 08-04 11:25
Plantou mais um, as pessoas no círculo estão inquietas.
Ver originalResponder0
AirdropBlackHole
· 08-01 22:29
Ai, quem ainda se atreve a jogar isso, estou a vomitar sangue.
Ver originalResponder0
AirdropHarvester
· 08-01 22:15
Outra máquina de fazer as pessoas de parvas virou-se.
Ver originalResponder0
GateUser-00be86fc
· 08-01 22:14
Tsk tsk, mais um local de falha de contratos inteligentes.
Ver originalResponder0
quiet_lurker
· 08-01 22:12
Mais uma vez, contratos inteligentes falharam. Quando é que a indústria vai aprender a lição?
O contrato do projeto de colecionáveis digitais apresenta uma falha crítica, resultando em 34 milhões de dólares em fundos bloqueados.
Recentemente, um contrato inteligente de um conhecido projeto de coleções digitais foi encontrado com duas vulnerabilidades graves, gerando ampla atenção na indústria. Análises de empresas de segurança descobriram que o contrato do projeto apresenta riscos de ataque DoS que podem levar ao bloqueio de ativos dos usuários, além de uma falha significativa que impede a equipa do projeto de retirar fundos.
A primeira vulnerabilidade está na função de processamento de reembolsos. Essa função realiza reembolsos para os usuários de forma cíclica, mas se o objeto de reembolso for um contrato malicioso, isso pode resultar na rejeição da execução da transação, afetando assim as operações de reembolso de todos os usuários. Embora essa vulnerabilidade não tenha sido explorada, ainda expôs riscos de segurança do projeto.
Para situações como esta, os especialistas recomendam que a equipa do projeto possa tomar as seguintes medidas para aumentar a segurança dos reembolsos:
O segundo erro é causado por um erro de codificação. Na função de extração de fundos do projeto, uma declaração condicional crítica apresentou um erro. As duas variáveis que deveriam ser comparadas foram trocadas incorretamente, fazendo com que a condição nunca fosse satisfeita. Isso resultou diretamente na impossibilidade de retirar mais de 34 milhões de dólares em fundos do projeto, que ficaram permanentemente bloqueados no contrato.
Este evento levantou novamente preocupações na indústria sobre a segurança dos projetos de colecionáveis digitais. Embora o setor DeFi já preste atenção à auditoria de segurança, nos projetos de colecionáveis digitais, a auditoria de segurança parece ainda não ter recebido a devida atenção. Essa negligência pode levar a perdas enormes, afetando o desenvolvimento saudável de toda a indústria.
Especialistas pedem que as equipas do projeto de coleções digitais aumentem a consciência de segurança, escrevendo casos de teste adequados durante o processo de desenvolvimento e cultivando um pensamento básico de segurança. Ao mesmo tempo, a introdução de auditorias de segurança profissionais tornou-se um meio necessário para reduzir riscos. Apenas ao aumentar efetivamente a segurança do projeto é que se poderá evitar a repetição de eventos semelhantes, protegendo os interesses dos usuários e das equipas do projeto.