Une vulnérabilité dans le contrat de collection numérique a entraîné le verrouillage permanent de 34 millions de dollars, soulignant l'importance des audits de sécurité.
Récemment, une certaine société de sécurité a découvert deux graves vulnérabilités dans un contrat de collection numérique. Ces vulnérabilités pourraient entraîner le blocage des actifs des utilisateurs ou l'impossibilité pour le projet de fête de retirer des fonds.
Le premier défaut se trouve dans la fonction de traitement des remboursements. Cette fonction utilise une méthode en boucle pour rembourser tous les utilisateurs, mais si un utilisateur est un contrat malveillant, il peut refuser de recevoir le remboursement et interrompre la transaction, entraînant l'échec de l'opération de remboursement pour tous les utilisateurs. Heureusement, ce défaut n'a pas été exploité en pratique.
Pour éviter des problèmes similaires, il est conseillé au projet de fête de prendre les mesures de sécurité suivantes :
La restriction ne permet que les comptes d'utilisateurs individuels de participer au projet.
Utiliser des jetons ERC20 plutôt que des actifs natifs
Concevoir un mécanisme permettant aux utilisateurs de demander activement un remboursement, plutôt que de procéder à des remboursements en masse.
Le deuxième problème est causé par une erreur logique dans le code. Dans la fonction d'extraction des fonds du projet, il existe une instruction de condition, mais l'objet de comparaison est incorrect. Cela empêche la condition d'être jamais satisfaite, et le projet de fête ne peut pas extraire les actifs du contrat. Actuellement, plus de 34 millions de dollars d'actifs sont définitivement bloqués dans ce contrat.
Ces problèmes soulignent à nouveau que même des projets de fête renommés peuvent commettre des erreurs de base. Au cours du processus de développement, des tests adéquats et une sensibilisation fondamentale à la sécurité sont essentiels. Bien que dans le domaine de la finance décentralisée, les audits de sécurité soient devenus une pratique courante, dans les projets de collection numérique, les audits de sécurité sont encore absents. Cette négligence a directement entraîné d'énormes pertes financières.
Cet événement nous rappelle que, quelle que soit l'échelle du projet, nous devons accorder une grande importance à la sécurité du code, effectuer des tests et des audits complets, afin d'éviter que de telles pertes majeures ne se reproduisent.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
21 J'aime
Récompense
21
6
Partager
Commentaire
0/400
MeaninglessGwei
· 07-21 03:10
Des petits projets sans tests, à quoi ça sert ?
Voir l'originalRépondre0
BearMarketLightning
· 07-19 13:40
La négligence ne permet pas de jouer !
Voir l'originalRépondre0
NightAirdropper
· 07-18 22:25
Encore un scamcoin qui s'est effondré.
Voir l'originalRépondre0
GateUser-ccc36bc5
· 07-18 22:24
Peut-on faire l'audit plus sérieusement ?
Voir l'originalRépondre0
WalletDoomsDay
· 07-18 22:24
Ah ça, c'est vraiment encore la faute des smart contracts.
Une vulnérabilité dans le contrat de collection numérique a entraîné le verrouillage permanent de 34 millions de dollars, soulignant l'importance des audits de sécurité.
Récemment, une certaine société de sécurité a découvert deux graves vulnérabilités dans un contrat de collection numérique. Ces vulnérabilités pourraient entraîner le blocage des actifs des utilisateurs ou l'impossibilité pour le projet de fête de retirer des fonds.
Le premier défaut se trouve dans la fonction de traitement des remboursements. Cette fonction utilise une méthode en boucle pour rembourser tous les utilisateurs, mais si un utilisateur est un contrat malveillant, il peut refuser de recevoir le remboursement et interrompre la transaction, entraînant l'échec de l'opération de remboursement pour tous les utilisateurs. Heureusement, ce défaut n'a pas été exploité en pratique.
Pour éviter des problèmes similaires, il est conseillé au projet de fête de prendre les mesures de sécurité suivantes :
Le deuxième problème est causé par une erreur logique dans le code. Dans la fonction d'extraction des fonds du projet, il existe une instruction de condition, mais l'objet de comparaison est incorrect. Cela empêche la condition d'être jamais satisfaite, et le projet de fête ne peut pas extraire les actifs du contrat. Actuellement, plus de 34 millions de dollars d'actifs sont définitivement bloqués dans ce contrat.
Ces problèmes soulignent à nouveau que même des projets de fête renommés peuvent commettre des erreurs de base. Au cours du processus de développement, des tests adéquats et une sensibilisation fondamentale à la sécurité sont essentiels. Bien que dans le domaine de la finance décentralisée, les audits de sécurité soient devenus une pratique courante, dans les projets de collection numérique, les audits de sécurité sont encore absents. Cette négligence a directement entraîné d'énormes pertes financières.
Cet événement nous rappelle que, quelle que soit l'échelle du projet, nous devons accorder une grande importance à la sécurité du code, effectuer des tests et des audits complets, afin d'éviter que de telles pertes majeures ne se reproduisent.