BlockSec revela duas grandes vulnerabilidades em contratos de colecionáveis digitais, resultando no bloqueio de 34 milhões de dólares em ativos.

A equipa do projeto BlockSec descobriu recentemente duas vulnerabilidades graves em um contrato de um colecionável digital. Essas duas vulnerabilidades podem resultar, respectivamente, no bloqueio dos ativos dos usuários e na impossibilidade de retirada dos fundos da equipa do projeto.

A primeira vulnerabilidade está presente na função de processamento de reembolsos. Esta função utiliza um método de loop para reembolsar todos os usuários, mas se algum desses usuários for um contrato malicioso, pode recusar o reembolso e fazer a transação reverter, resultando na incapacidade de completar as operações de reembolso para todos os usuários. Embora essa vulnerabilidade não tenha sido explorada, ainda existe um risco potencial.

Para cenários de reembolso como este, os especialistas recomendam que se adotem as seguintes medidas para aumentar a segurança:

1. A restrição é que apenas contas pessoais podem participar no projeto
2. Usar tokens ERC20 como WETH em vez de ativos nativos
3. Criar um mecanismo que permita aos usuários solicitar reembolsos de forma ativa, evitando operações de reembolso em massa.

O segundo erro é causado por um erro lógico no código. Na função que a equipa do projeto utiliza para retirar fundos, há uma instrução condicional que deveria comparar "progresso do reembolso" e "índice da licitação", mas que erroneamente está a comparar com "número total de licitações". Isso faz com que a condição nunca seja satisfeita, impedindo a equipa do projeto de retirar fundos do contrato. Atualmente, mais de 34 milhões de dólares em ativos estão bloqueados no contrato.

Estas questões destacam novamente a importância de realizar testes abrangentes e auditorias de segurança no desenvolvimento de projetos de blockchain. Especialmente no campo dos colecionáveis digitais, ainda falta uma consciência de segurança e práticas de auditoria adequadas, o que pode levar a perdas económicas significativas. A equipa do projeto precisa estabelecer uma mentalidade básica de segurança, elaborar casos de teste adequados e realizar auditorias de segurança profissionais antes do lançamento, para evitar a ocorrência de erros primários semelhantes.