Recientemente, una conocida empresa de seguridad de contratos inteligentes descubrió que el contrato inteligente de un proyecto de coleccionables digitales presentaba dos graves vulnerabilidades. Estas dos vulnerabilidades podrían provocar que los activos de los usuarios quedaran bloqueados y que el equipo detrás del proyecto no pudiera retirar fondos.
La primera vulnerabilidad se encuentra en la función de reembolso. Esta función utiliza un bucle para reembolsar a todos los usuarios, pero si el objeto del reembolso es un contrato malicioso, podría rechazar el reembolso y provocar el fallo de la transacción. Esto impediría que todos los usuarios recibieran el reembolso. Afortunadamente, esta vulnerabilidad no fue explotada en la práctica.
Para evitar problemas similares, los expertos sugieren que el equipo detrás del proyecto puede tomar las siguientes medidas para garantizar un reembolso seguro:
La restricción es que solo las cuentas de usuarios individuales pueden participar en el proyecto
Usar tokens ERC20 en lugar de activos nativos
Diseñar la función para que los usuarios soliciten el reembolso de manera activa, evitando los reembolsos masivos.
El segundo error se debe a un error lógico en el código. En la función de extracción de fondos del proyecto, hay una declaración de comparación de condiciones, pero el objeto de comparación es incorrecto. Esto provoca que la condición nunca se cumpla, y el equipo detrás del proyecto no puede extraer los fondos del contrato. Se estima que actualmente hay aproximadamente 34 millones de dólares en activos bloqueados en el contrato.
Este evento destaca nuevamente que incluso los proyectos reconocidos pueden cometer errores fundamentales. El equipo detrás del proyecto necesita establecer casos de prueba suficientes al redactar contratos inteligentes y tener una conciencia básica de seguridad. Aunque en el ámbito de las finanzas descentralizadas, la auditoría de seguridad se ha convertido en una práctica común, en los proyectos de coleccionables digitales, la auditoría de seguridad todavía es escasa. Esta negligencia puede llevar a pérdidas financieras enormes.
Este evento nos recuerda que, a medida que la tecnología blockchain sigue desarrollándose, el equipo detrás del proyecto debe prestar más atención a la seguridad de los contratos inteligentes para proteger los intereses de los usuarios y los propios.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
El proyecto de coleccionables digitales presenta una doble vulnerabilidad, 34 millones de dólares en activos podrían quedar bloqueados.
Recientemente, una conocida empresa de seguridad de contratos inteligentes descubrió que el contrato inteligente de un proyecto de coleccionables digitales presentaba dos graves vulnerabilidades. Estas dos vulnerabilidades podrían provocar que los activos de los usuarios quedaran bloqueados y que el equipo detrás del proyecto no pudiera retirar fondos.
La primera vulnerabilidad se encuentra en la función de reembolso. Esta función utiliza un bucle para reembolsar a todos los usuarios, pero si el objeto del reembolso es un contrato malicioso, podría rechazar el reembolso y provocar el fallo de la transacción. Esto impediría que todos los usuarios recibieran el reembolso. Afortunadamente, esta vulnerabilidad no fue explotada en la práctica.
Para evitar problemas similares, los expertos sugieren que el equipo detrás del proyecto puede tomar las siguientes medidas para garantizar un reembolso seguro:
El segundo error se debe a un error lógico en el código. En la función de extracción de fondos del proyecto, hay una declaración de comparación de condiciones, pero el objeto de comparación es incorrecto. Esto provoca que la condición nunca se cumpla, y el equipo detrás del proyecto no puede extraer los fondos del contrato. Se estima que actualmente hay aproximadamente 34 millones de dólares en activos bloqueados en el contrato.
Este evento destaca nuevamente que incluso los proyectos reconocidos pueden cometer errores fundamentales. El equipo detrás del proyecto necesita establecer casos de prueba suficientes al redactar contratos inteligentes y tener una conciencia básica de seguridad. Aunque en el ámbito de las finanzas descentralizadas, la auditoría de seguridad se ha convertido en una práctica común, en los proyectos de coleccionables digitales, la auditoría de seguridad todavía es escasa. Esta negligencia puede llevar a pérdidas financieras enormes.
Este evento nos recuerda que, a medida que la tecnología blockchain sigue desarrollándose, el equipo detrás del proyecto debe prestar más atención a la seguridad de los contratos inteligentes para proteger los intereses de los usuarios y los propios.