Récemment, un projet de collection numérique a été découvert avec deux vulnérabilités majeures dans son smart contract, suscitant un large suivi dans l'industrie. Ces deux vulnérabilités pourraient avoir des conséquences graves, notamment le verrouillage des actifs des utilisateurs et l'impossibilité pour le projet de fête de retirer des fonds.
Le premier vulnérabilité se trouve dans la fonction de traitement des remboursements. Cette fonction utilise une boucle pour rembourser tous les utilisateurs, mais si l'objet de remboursement est un contrat malveillant, cela peut entraîner l'interruption de l'ensemble du processus de remboursement. Bien que cette vulnérabilité n'ait finalement pas été exploitée, il existe toujours un risque potentiel.
Pour éviter des problèmes similaires, il est conseillé au projet de fête de prendre en compte les points suivants lors de la conception du mécanisme de remboursement :
Limiter les participants à des comptes externes (EOA)
Utiliser des actifs normalisés tels que les jetons ERC20 à la place des actifs natifs
Mettre en œuvre la fonctionnalité permettant aux utilisateurs de demander activement un remboursement, plutôt que de procéder à des remboursements en masse.
Le deuxième bug est plus grave, car il affecte directement la fonction de retrait de fonds du projet de fête. Dans la fonction de retrait de fonds, il existe une erreur logique qui empêche la condition de jugement d'être jamais satisfaite. Cette erreur a entraîné le blocage permanent de plus de 34 millions de dollars d'actifs dans le contrat, qui ne peuvent pas être retirés.
La découverte de ces deux vulnérabilités souligne encore une fois l'importance de l'audit de sécurité dans le processus de développement de projets. Bien que l'audit de sécurité soit devenu une pratique courante dans le domaine de la finance décentralisée (DeFi), cette étape semble encore être négligée dans les projets de biens numériques. Les pertes énormes causées par cet incident ont sans aucun doute sonné l'alarme dans l'industrie.
Le projet de fête, lors du processus de développement, doit non seulement rédiger des cas de test complets, mais également posséder une conscience de base en matière de sécurité. Cela est particulièrement surprenant pour les projets connus, de voir des erreurs aussi basiques. Cet incident nous rappelle que même les projets les plus en vue peuvent présenter de graves risques de sécurité.
Dans l'ensemble, cet événement souligne à nouveau l'importance égale de la sécurité et de la fonctionnalité dans le développement de projets blockchain. Les projets de fête doivent accorder une attention particulière à l'audit du code et établir des mécanismes de sécurité complets pour protéger les intérêts des utilisateurs et des leurs. En même temps, cela sert également de sonnette d'alarme pour l'ensemble de l'industrie, rappelant à tous les participants de rester vigilants et de maintenir ensemble le développement sain de l'écosystème.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
6
Reposter
Partager
Commentaire
0/400
GhostInTheChain
· 08-15 12:46
Encore un smart contracts qui s'est refroidi~
Voir l'originalRépondre0
NFTArchaeologis
· 08-13 18:03
D'après l'historique des vulnérabilités des Meebits de l'année précédente, il s'agit d'un problème classique de normes off-chain.
Voir l'originalRépondre0
SchrodingersFOMO
· 08-13 18:01
Encore une fois, ils prennent les gens pour des idiots et s'en vont.
Voir l'originalRépondre0
GamefiEscapeArtist
· 08-13 17:59
Encore une explosion de smart contracts, hein.
Voir l'originalRépondre0
MetaNeighbor
· 08-13 17:39
Tu es encore en train de flâner, n'est-ce pas ? Trois millions ne peuvent même pas être retirés.
Des vulnérabilités dans le projet de collection numérique révélées, 34 millions de dollars d'actifs bloqués de manière permanente.
Récemment, un projet de collection numérique a été découvert avec deux vulnérabilités majeures dans son smart contract, suscitant un large suivi dans l'industrie. Ces deux vulnérabilités pourraient avoir des conséquences graves, notamment le verrouillage des actifs des utilisateurs et l'impossibilité pour le projet de fête de retirer des fonds.
Le premier vulnérabilité se trouve dans la fonction de traitement des remboursements. Cette fonction utilise une boucle pour rembourser tous les utilisateurs, mais si l'objet de remboursement est un contrat malveillant, cela peut entraîner l'interruption de l'ensemble du processus de remboursement. Bien que cette vulnérabilité n'ait finalement pas été exploitée, il existe toujours un risque potentiel.
Pour éviter des problèmes similaires, il est conseillé au projet de fête de prendre en compte les points suivants lors de la conception du mécanisme de remboursement :
Le deuxième bug est plus grave, car il affecte directement la fonction de retrait de fonds du projet de fête. Dans la fonction de retrait de fonds, il existe une erreur logique qui empêche la condition de jugement d'être jamais satisfaite. Cette erreur a entraîné le blocage permanent de plus de 34 millions de dollars d'actifs dans le contrat, qui ne peuvent pas être retirés.
La découverte de ces deux vulnérabilités souligne encore une fois l'importance de l'audit de sécurité dans le processus de développement de projets. Bien que l'audit de sécurité soit devenu une pratique courante dans le domaine de la finance décentralisée (DeFi), cette étape semble encore être négligée dans les projets de biens numériques. Les pertes énormes causées par cet incident ont sans aucun doute sonné l'alarme dans l'industrie.
Le projet de fête, lors du processus de développement, doit non seulement rédiger des cas de test complets, mais également posséder une conscience de base en matière de sécurité. Cela est particulièrement surprenant pour les projets connus, de voir des erreurs aussi basiques. Cet incident nous rappelle que même les projets les plus en vue peuvent présenter de graves risques de sécurité.
Dans l'ensemble, cet événement souligne à nouveau l'importance égale de la sécurité et de la fonctionnalité dans le développement de projets blockchain. Les projets de fête doivent accorder une attention particulière à l'audit du code et établir des mécanismes de sécurité complets pour protéger les intérêts des utilisateurs et des leurs. En même temps, cela sert également de sonnette d'alarme pour l'ensemble de l'industrie, rappelant à tous les participants de rester vigilants et de maintenir ensemble le développement sain de l'écosystème.