Récemment, une entreprise de sécurité des smart contracts bien connue a découvert deux graves vulnérabilités dans le smart contract d'un projet de collection numérique. Ces deux vulnérabilités pourraient entraîner le blocage des actifs des utilisateurs et des problèmes d'impossibilité de retirer les fonds du projet de fête.
Le premier défaut se trouve dans la fonction de remboursement. Cette fonction utilise une boucle pour rembourser tous les utilisateurs, mais si l'objet du remboursement est un contrat malveillant, il peut refuser de recevoir le remboursement et entraîner l'échec de la transaction. Cela empêchera tous les utilisateurs d'obtenir un remboursement. Heureusement, ce défaut n'a pas été exploité en pratique.
Pour éviter des problèmes similaires, les experts recommandent que le projet de fête prenne les mesures suivantes pour garantir un remboursement sécurisé :
La restriction selon laquelle seuls les comptes d'utilisateurs individuels peuvent participer au projet
Utiliser des jetons ERC20 au lieu d'actifs natifs
Concevoir une fonctionnalité permettant aux utilisateurs de demander activement un remboursement, afin d'éviter les remboursements en masse.
Le deuxième bug est dû à une erreur logique dans le code. Dans la fonction d'extraction des fonds du projet, il existe une instruction de condition, mais l'objet comparé est incorrect. Cela entraîne le fait que la condition ne peut jamais être satisfaite, et le projet de fête ne peut pas extraire les fonds du contrat. On estime qu'environ 34 millions de dollars d'actifs sont actuellement bloqués dans le contrat.
Cet événement met à nouveau en évidence que même les projets connus peuvent présenter des erreurs fondamentales. Les équipes de développement doivent établir des cas de test suffisants lors de la rédaction des smart contracts et posséder une conscience de sécurité de base. Bien que l'audit de sécurité soit devenu une pratique courante dans le domaine de la finance décentralisée, il fait encore défaut dans les projets de numérique. Cette négligence peut entraîner des pertes financières considérables.
Cet événement nous rappelle qu'avec le développement continu de la technologie blockchain, les projets de fête doivent accorder une plus grande importance à la sécurité des smart contracts afin de protéger les intérêts des utilisateurs et les leurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Le projet de collection numérique présente une double vulnérabilité, 34 millions de dollars d'actifs pourraient être bloqués.
Récemment, une entreprise de sécurité des smart contracts bien connue a découvert deux graves vulnérabilités dans le smart contract d'un projet de collection numérique. Ces deux vulnérabilités pourraient entraîner le blocage des actifs des utilisateurs et des problèmes d'impossibilité de retirer les fonds du projet de fête.
Le premier défaut se trouve dans la fonction de remboursement. Cette fonction utilise une boucle pour rembourser tous les utilisateurs, mais si l'objet du remboursement est un contrat malveillant, il peut refuser de recevoir le remboursement et entraîner l'échec de la transaction. Cela empêchera tous les utilisateurs d'obtenir un remboursement. Heureusement, ce défaut n'a pas été exploité en pratique.
Pour éviter des problèmes similaires, les experts recommandent que le projet de fête prenne les mesures suivantes pour garantir un remboursement sécurisé :
Le deuxième bug est dû à une erreur logique dans le code. Dans la fonction d'extraction des fonds du projet, il existe une instruction de condition, mais l'objet comparé est incorrect. Cela entraîne le fait que la condition ne peut jamais être satisfaite, et le projet de fête ne peut pas extraire les fonds du contrat. On estime qu'environ 34 millions de dollars d'actifs sont actuellement bloqués dans le contrat.
Cet événement met à nouveau en évidence que même les projets connus peuvent présenter des erreurs fondamentales. Les équipes de développement doivent établir des cas de test suffisants lors de la rédaction des smart contracts et posséder une conscience de sécurité de base. Bien que l'audit de sécurité soit devenu une pratique courante dans le domaine de la finance décentralisée, il fait encore défaut dans les projets de numérique. Cette négligence peut entraîner des pertes financières considérables.
Cet événement nous rappelle qu'avec le développement continu de la technologie blockchain, les projets de fête doivent accorder une plus grande importance à la sécurité des smart contracts afin de protéger les intérêts des utilisateurs et les leurs.