L'équipe BlockSec a récemment découvert deux vulnérabilités graves dans un contrat de collection numérique. Ces deux vulnérabilités pourraient entraîner le blocage des actifs des utilisateurs et empêcher le projet de fête de retirer plus de 34 millions de dollars.
Le premier bug concerne la fonction de remboursement. La fonction de remboursement dans le contrat utilise une boucle pour rembourser tous les utilisateurs, mais si l'un de ces utilisateurs est un contrat malveillant, il pourrait refuser de recevoir le remboursement et provoquer l'échec de toute la transaction. Cela empêcherait tous les utilisateurs d'obtenir un remboursement. Heureusement, cette vulnérabilité n'a pas été exploitée.
Pour les projets nécessitant un remboursement, il est conseillé de prendre les mesures de sécurité suivantes :
Limiter les participants aux comptes externes détenus (EOA)
Utiliser des jetons ERC20 comme WETH, plutôt que des actifs natifs.
Concevoir un mécanisme permettant aux utilisateurs de demander activement un remboursement, afin d'éviter les remboursements en masse.
Le deuxième problème est une erreur de code. Dans la fonction d'extraction des fonds du projet, il y a une erreur de condition. Cette fonction devrait comparer le progrès des remboursements à l'index des enchères, mais elle le compare par erreur au nombre total d'enchères. Comme le progrès des remboursements est toujours inférieur au nombre total d'enchères et qu'il n'augmente plus, la condition ne peut donc jamais être satisfaite. Cela empêche le projet de fête d'extraire les fonds bloqués dans le contrat.
Ces vulnérabilités soulignent à nouveau que des projets de fête réputés peuvent également présenter des erreurs fondamentales. Les équipes de développement doivent rédiger des cas de test suffisants et avoir une conscience de base en matière de sécurité. Bien que les audits de sécurité soient devenus une pratique courante dans le domaine de la finance décentralisée, ils restent insuffisants dans les projets de collection numérique, et cet incident a entraîné d'énormes pertes.
Cet événement nous rappelle que même les projets les plus en vue peuvent avoir de graves vulnérabilités. Il souligne l'importance de réaliser des audits de sécurité complets lors du développement de projets blockchain, en particulier lorsqu'il s'agit de gérer des montants importants. Le projet de fête devrait accorder plus d'attention à la sécurité des contrats pour éviter des erreurs coûteuses similaires.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
11 J'aime
Récompense
11
4
Partager
Commentaire
0/400
QuorumVoter
· 08-04 12:28
chute麻了 cette contrat Qui ose y mettre de l'argent
Voir l'originalRépondre0
Ser_APY_2000
· 08-04 12:20
Trente millions de dollars bloqués comme ça ? Oh là là... c'est vraiment absurde.
Voir l'originalRépondre0
MidnightMEVeater
· 08-04 12:12
Encore bloqués ? Ces pigeons méritent d'être les restes dans le réfrigérateur.
Voir l'originalRépondre0
StakeTillRetire
· 08-04 12:05
Il est vraiment difficile de récupérer l'impôt sur l'intelligence.
BlockSec a découvert deux vulnérabilités dans le contrat de collection numérique, 34 millions de dollars de fonds bloqués.
L'équipe BlockSec a récemment découvert deux vulnérabilités graves dans un contrat de collection numérique. Ces deux vulnérabilités pourraient entraîner le blocage des actifs des utilisateurs et empêcher le projet de fête de retirer plus de 34 millions de dollars.
Le premier bug concerne la fonction de remboursement. La fonction de remboursement dans le contrat utilise une boucle pour rembourser tous les utilisateurs, mais si l'un de ces utilisateurs est un contrat malveillant, il pourrait refuser de recevoir le remboursement et provoquer l'échec de toute la transaction. Cela empêcherait tous les utilisateurs d'obtenir un remboursement. Heureusement, cette vulnérabilité n'a pas été exploitée.
Pour les projets nécessitant un remboursement, il est conseillé de prendre les mesures de sécurité suivantes :
Le deuxième problème est une erreur de code. Dans la fonction d'extraction des fonds du projet, il y a une erreur de condition. Cette fonction devrait comparer le progrès des remboursements à l'index des enchères, mais elle le compare par erreur au nombre total d'enchères. Comme le progrès des remboursements est toujours inférieur au nombre total d'enchères et qu'il n'augmente plus, la condition ne peut donc jamais être satisfaite. Cela empêche le projet de fête d'extraire les fonds bloqués dans le contrat.
Ces vulnérabilités soulignent à nouveau que des projets de fête réputés peuvent également présenter des erreurs fondamentales. Les équipes de développement doivent rédiger des cas de test suffisants et avoir une conscience de base en matière de sécurité. Bien que les audits de sécurité soient devenus une pratique courante dans le domaine de la finance décentralisée, ils restent insuffisants dans les projets de collection numérique, et cet incident a entraîné d'énormes pertes.
Cet événement nous rappelle que même les projets les plus en vue peuvent avoir de graves vulnérabilités. Il souligne l'importance de réaliser des audits de sécurité complets lors du développement de projets blockchain, en particulier lorsqu'il s'agit de gérer des montants importants. Le projet de fête devrait accorder plus d'attention à la sécurité des contrats pour éviter des erreurs coûteuses similaires.