This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
BlockSecがデジタルコレクション契約の2つの脆弱性を明らかにし、3400万ドルの資産がロックされる
BlockSecチームは最近、あるデジタルコレクション契約に2つの重大な脆弱性が存在することを発見しました。この2つの脆弱性は、それぞれユーザーの資産がロックされる問題とプロジェクトの資金が引き出せない問題を引き起こす可能性があります。
最初の脆弱性は、返金処理関数に存在します。この関数はループ方式で全てのユーザーに返金を行いますが、もしその中のあるユーザーが悪意のあるコントラクトであれば、返金を拒否し、トランザクションがロールバックされる可能性があり、結果として全てのユーザーの返金操作が完了できなくなります。この脆弱性は最終的には利用されませんでしたが、依然として潜在的なリスクが存在します。
このような返金シーンに対して、専門家は安全性を高めるために以下のいくつかの対策を講じることを提案しています:
!
第二の脆弱性は、コード内のロジックエラーによって引き起こされました。プロジェクトが資金を引き出す関数において、"返金進捗"と"入札インデックス"を比較するはずの条件判断文が、間違って"総入札数"と比較されていました。これにより条件が永遠に満たされず、プロジェクトは契約内の資金を引き出すことができませんでした。現在、3400万ドル以上の資産が契約内にロックされています。
!
これらの問題は、ブロックチェーンプロジェクトの開発において包括的なテストとセキュリティ監査の重要性を再び浮き彫りにしています。特にデジタルコレクションの分野では、現在も十分なセキュリティ意識と監査実践が欠けており、これが重大な経済的損失を引き起こす可能性があります。開発チームは基本的なセキュリティ思考を確立し、十分なテストケースを作成し、リリース前に専門的なセキュリティ監査を実施して、類似の初歩的なエラーの発生を避ける必要があります。
!