BlockSec revela dos grandes vulnerabilidades en los contratos de activos digitales, 34 millones de dólares en activos quedan bloqueados.

El equipo de BlockSec ha descubierto recientemente dos vulnerabilidades graves en un contrato de coleccionables digitales. Estas dos vulnerabilidades podrían provocar que los activos de los usuarios queden bloqueados y que los fondos del equipo detrás del proyecto no puedan ser retirados.

La primera vulnerabilidad se encuentra en la función de procesamiento de reembolsos. Esta función utiliza un bucle para reembolsar a todos los usuarios, pero si alguno de esos usuarios es un contrato malicioso, podría rechazar el reembolso y hacer que la transacción se revierta, lo que resulta en que las operaciones de reembolso de todos los usuarios no puedan completarse. Aunque esta vulnerabilidad no se explotó finalmente, aún existe un riesgo potencial.

Para este tipo de escenarios de reembolso, los expertos sugieren que se pueden tomar las siguientes medidas para aumentar la seguridad:

1. La restricción es que solo las cuentas personales pueden participar en el proyecto.
2. Utilizar tokens ERC20 como WETH en lugar de activos nativos
3. Diseñar un mecanismo que permita a los usuarios solicitar el reembolso de manera activa, evitando operaciones de reembolso en masa.

El segundo fallo se debe a un error lógico en el código. En la función donde el equipo detrás del proyecto retira fondos, hay una declaración de condición que debería comparar "progreso de reembolso" y "índice de licitación", pero en su lugar se compara erróneamente con "total de licitaciones". Esto hace que la condición nunca se cumpla, por lo que el equipo detrás del proyecto no puede retirar los fondos del contrato. Actualmente, más de 34 millones de dólares en activos están bloqueados en el contrato.

Estas cuestiones resaltan nuevamente la importancia de realizar pruebas exhaustivas y auditorías de seguridad en el desarrollo de proyectos de blockchain. Especialmente en el ámbito de los coleccionables digitales, actualmente aún falta una conciencia de seguridad y prácticas de auditoría adecuadas, lo que puede resultar en pérdidas económicas significativas. El equipo de desarrollo necesita establecer una mentalidad de seguridad básica, redactar casos de prueba adecuados y llevar a cabo auditorías de seguridad profesionales antes de la publicación, para evitar la ocurrencia de errores de este tipo.