Vulnerabilidades de contratos de projetos de colecionáveis digitais bloqueiam 34 milhões de dólares; especialistas apelam à importância da auditoria de segurança
Recentemente, uma empresa de segurança descobriu que um contrato de colecionáveis digitais apresentava duas falhas graves, o que gerou uma ampla preocupação na indústria. Estas duas falhas podem resultar em consequências sérias, como a possibilidade de os ativos dos usuários serem bloqueados e a equipa do projeto não conseguir retirar fundos.
A primeira vulnerabilidade existe na funcionalidade de reembolso. Esta funcionalidade realiza reembolsos para todos os usuários através de um loop, mas se incluir um contrato malicioso, pode interromper todo o processo de reembolso, afetando a segurança dos fundos de todos os usuários. Felizmente, essa vulnerabilidade não foi explorada por hackers.
Para isso, especialistas da indústria sugerem que a equipa do projeto deve adotar as seguintes medidas de segurança ao projetar o mecanismo de reembolso:
Restringir os participantes a apenas contas externas (EOA)
Usar tokens ERC20 (como WETH) em vez de ativos nativos
Criar um mecanismo que permita ao utilizador solicitar ativamente o reembolso, evitando operações de reembolso em massa
O segundo erro é causado por um erro na lógica do código. Na função que a equipa do projeto usa para retirar fundos, existe um erro na condição que faz com que as condições de retirada nunca possam ser satisfeitas. Este erro resultou diretamente na permanência de mais de 34 milhões de dólares em fundos bloqueados permanentemente no contrato, impossíveis de serem retirados.
Este evento destaca novamente a importância da auditoria de segurança no processo de desenvolvimento de projetos. Embora na área DeFi a auditoria de segurança tenha se tornado uma prática padrão, este aspecto é frequentemente negligenciado em projetos de colecionáveis digitais. As enormes perdas causadas por este incidente soaram, sem dúvida, um alerta para a indústria.
Especialistas apelam que os projetos de colecionáveis digitais devem elaborar casos de teste adequados durante o processo de desenvolvimento, cultivar uma consciência básica de segurança e introduzir mecanismos de auditoria de segurança profissional para prevenir a ocorrência de riscos semelhantes. Isso não apenas diz respeito à reputação e ao desenvolvimento do próprio projeto, mas também afeta diretamente a segurança dos ativos dos usuários.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
11 Curtidas
Recompensa
11
4
Repostar
Compartilhar
Comentário
0/400
LiquidationWatcher
· 08-14 07:49
Como é que há uma falha tão grande e ninguém sabe testar isso?
Ver originalResponder0
MemeCurator
· 08-13 04:00
Este projeto quebrado nem consegue entender os contratos.
Vulnerabilidades de contratos de projetos de colecionáveis digitais bloqueiam 34 milhões de dólares; especialistas apelam à importância da auditoria de segurança
Recentemente, uma empresa de segurança descobriu que um contrato de colecionáveis digitais apresentava duas falhas graves, o que gerou uma ampla preocupação na indústria. Estas duas falhas podem resultar em consequências sérias, como a possibilidade de os ativos dos usuários serem bloqueados e a equipa do projeto não conseguir retirar fundos.
A primeira vulnerabilidade existe na funcionalidade de reembolso. Esta funcionalidade realiza reembolsos para todos os usuários através de um loop, mas se incluir um contrato malicioso, pode interromper todo o processo de reembolso, afetando a segurança dos fundos de todos os usuários. Felizmente, essa vulnerabilidade não foi explorada por hackers.
Para isso, especialistas da indústria sugerem que a equipa do projeto deve adotar as seguintes medidas de segurança ao projetar o mecanismo de reembolso:
O segundo erro é causado por um erro na lógica do código. Na função que a equipa do projeto usa para retirar fundos, existe um erro na condição que faz com que as condições de retirada nunca possam ser satisfeitas. Este erro resultou diretamente na permanência de mais de 34 milhões de dólares em fundos bloqueados permanentemente no contrato, impossíveis de serem retirados.
Este evento destaca novamente a importância da auditoria de segurança no processo de desenvolvimento de projetos. Embora na área DeFi a auditoria de segurança tenha se tornado uma prática padrão, este aspecto é frequentemente negligenciado em projetos de colecionáveis digitais. As enormes perdas causadas por este incidente soaram, sem dúvida, um alerta para a indústria.
Especialistas apelam que os projetos de colecionáveis digitais devem elaborar casos de teste adequados durante o processo de desenvolvimento, cultivar uma consciência básica de segurança e introduzir mecanismos de auditoria de segurança profissional para prevenir a ocorrência de riscos semelhantes. Isso não apenas diz respeito à reputação e ao desenvolvimento do próprio projeto, mas também afeta diretamente a segurança dos ativos dos usuários.