BlockSec發現數字藏品合約兩大漏洞 3400萬美元資金受困

BlockSec團隊近日發現某數字藏品合約存在兩個嚴重漏洞。這兩個漏洞可能導致用戶資產被鎖定以及項目方無法提取超過3400萬美元的資金。

第一個漏洞涉及退款功能。合約中的退款函數使用循環爲所有用戶進行退款，但如果其中某個用戶是惡意合約，可能會拒絕接收退款並導致整個交易失敗。這將阻止所有用戶獲得退款。幸運的是，這個漏洞並未被利用。

對於有退款需求的項目，建議採取以下安全措施：

1. 限制參與者僅爲外部擁有帳戶（EOA）
2. 使用ERC20代幣如WETH，而非原生資產
3. 設計用戶主動申領退款的機制，避免批量退款

第二個漏洞是一個代碼錯誤。在提取項目資金的函數中，存在一個條件判斷錯誤。該函數應比較退款進度與投標索引，但錯誤地與總投標數進行了比較。由於退款進度永遠小於總投標數，且不再增加，導致條件永遠無法滿足。這使得項目方無法提取鎖定在合約中的資金。

這些漏洞再次凸顯了知名項目也可能出現基本錯誤。開發團隊需要編寫充分的測試用例，並具備基本的安全意識。雖然安全審計在去中心化金融領域已成常規做法，但在數字藏品項目中仍顯不足，這次事件造成了巨額損失。

這一事件提醒我們，即使是備受關注的項目也可能存在嚴重漏洞。它強調了在區塊鏈項目開發中進行全面安全審計的重要性，特別是在處理大額資金時。項目方應該更加重視合約安全，以防止類似的costly錯誤發生。