Recentemente, uma conhecida empresa de segurança de contratos inteligentes descobriu que o contrato inteligente de um determinado projeto de colecionáveis digitais apresentava duas falhas graves. Estas duas falhas podem levar a que os ativos dos usuários fiquem bloqueados e que a equipa do projeto não consiga retirar os fundos.
A primeira vulnerabilidade existe na funcionalidade de reembolso. Esta funcionalidade utiliza um loop para reembolsar todos os usuários, mas se o objeto de reembolso for um contrato malicioso, pode recusar o recebimento do reembolso e levar à falha da transação. Isso impedirá que todos os usuários obtenham o reembolso. Felizmente, essa vulnerabilidade não foi realmente explorada.
Para evitar problemas semelhantes, os especialistas sugerem que a equipa do projeto possa tomar as seguintes medidas para garantir reembolsos seguros:
A restrição é que apenas contas de utilizadores individuais podem participar no projeto
Usar tokens ERC20 em vez de ativos nativos
Criar a funcionalidade que permite ao utilizador solicitar o reembolso de forma ativa, evitando reembolsos em massa.
O segundo erro é causado por um erro lógico no código. Na função de extração de fundos do projeto, há uma instrução de verificação de condição, mas o objeto de comparação está errado. Isso faz com que a condição nunca seja satisfeita, e a equipa do projeto não consiga extrair os fundos do contrato. Estima-se que atualmente cerca de 34 milhões de dólares em ativos estejam bloqueados no contrato.
Este evento destaca novamente que até projetos conhecidos podem apresentar erros fundamentais. A equipa do projeto precisa de elaborar casos de teste adequados ao escrever contratos inteligentes e ter consciência básica de segurança. Embora a auditoria de segurança tenha se tornado uma prática comum no setor de finanças descentralizadas, ainda está em falta em projetos de colecionáveis digitais. Essa negligência pode resultar em enormes perdas financeiras.
Este evento lembra-nos que, à medida que a tecnologia blockchain continua a evoluir, a equipa do projeto deve dar maior atenção à segurança dos contratos inteligentes, para proteger os interesses dos usuários e os seus próprios.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Projeto de colecionáveis digitais revela dupla vulnerabilidade, 34 milhões de dólares em ativos podem ser bloqueados
Recentemente, uma conhecida empresa de segurança de contratos inteligentes descobriu que o contrato inteligente de um determinado projeto de colecionáveis digitais apresentava duas falhas graves. Estas duas falhas podem levar a que os ativos dos usuários fiquem bloqueados e que a equipa do projeto não consiga retirar os fundos.
A primeira vulnerabilidade existe na funcionalidade de reembolso. Esta funcionalidade utiliza um loop para reembolsar todos os usuários, mas se o objeto de reembolso for um contrato malicioso, pode recusar o recebimento do reembolso e levar à falha da transação. Isso impedirá que todos os usuários obtenham o reembolso. Felizmente, essa vulnerabilidade não foi realmente explorada.
Para evitar problemas semelhantes, os especialistas sugerem que a equipa do projeto possa tomar as seguintes medidas para garantir reembolsos seguros:
O segundo erro é causado por um erro lógico no código. Na função de extração de fundos do projeto, há uma instrução de verificação de condição, mas o objeto de comparação está errado. Isso faz com que a condição nunca seja satisfeita, e a equipa do projeto não consiga extrair os fundos do contrato. Estima-se que atualmente cerca de 34 milhões de dólares em ativos estejam bloqueados no contrato.
Este evento destaca novamente que até projetos conhecidos podem apresentar erros fundamentais. A equipa do projeto precisa de elaborar casos de teste adequados ao escrever contratos inteligentes e ter consciência básica de segurança. Embora a auditoria de segurança tenha se tornado uma prática comum no setor de finanças descentralizadas, ainda está em falta em projetos de colecionáveis digitais. Essa negligência pode resultar em enormes perdas financeiras.
Este evento lembra-nos que, à medida que a tecnologia blockchain continua a evoluir, a equipa do projeto deve dar maior atenção à segurança dos contratos inteligentes, para proteger os interesses dos usuários e os seus próprios.