Análise de segurança de contratos NFT: Revisão dos eventos do primeiro semestre de 2022 e discussão de questões comuns
No primeiro semestre de 2022, a situação de segurança no campo dos NFTs era severa. Dados mostram que ocorreram 10 principais incidentes de segurança, resultando em perdas de cerca de 64,9 milhões de dólares. As principais técnicas de ataque incluíam exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. É importante notar que ataques de phishing na plataforma Discord ocorrem quase diariamente, levando a perdas frequentes para usuários individuais.
Análise de Eventos de Segurança Típicos
Evento TreasureDAO
No dia 3 de março, a plataforma de negociação TreasureDAO foi atacada, resultando no roubo de mais de 100 NFTs. A causa foi uma vulnerabilidade lógica provocada pela mistura de tokens ERC-1155 e ERC-721. O contrato não diferenciou os tipos de token ao processar as compras de tokens, permitindo que os atacantes utilizassem tokens ERC-20 para comprar NFTs a custo zero.
Evento de airdrop do APE Coin
No dia 17 de março, hackers obtiveram mais de 60.000 APE Coin em airdrop através de um empréstimo relâmpago. A vulnerabilidade surgiu porque o contrato de airdrop utilizava uma verificação de estado instantânea para determinar a propriedade do NFT, o que pode ser manipulado por empréstimos relâmpago.
Evento Revest Finance
No dia 27 de março, a Revest Finance sofreu um ataque, resultando em uma perda de 120.000 dólares. Este é um exemplo típico de ataque de reentrada ERC-1155, uma vez que o contrato não tratou corretamente a ordem de atualização de estado ao criar novos FNFTs.
NBA薅羊毛事件
No dia 21 de abril, o projeto NBA sofreu um ataque. O problema estava no mecanismo de verificação de assinatura da lista branca, que apresentava duas principais vulnerabilidades: uso indevido de assinatura e reutilização.
Evento Akutar
No dia 23 de abril, o projeto Akutar teve 11539 ETH (cerca de 34 milhões de dólares) bloqueados devido a uma vulnerabilidade no contrato. Os principais problemas incluem falhas no design da função de reembolso e a não consideração da situação em que os usuários fazem múltiplas ofertas.
Evento XCarnival
No dia 24 de junho, o XCarnival foi atacado, resultando em uma perda de 3087 ETH (cerca de 3,8 milhões de dólares). A vulnerabilidade estava na falta de verificação da legitimidade do endereço xToken ao fazer staking de NFT, e na ausência de verificação do estado do registro de colateral durante o empréstimo.
Problemas de segurança comuns em contratos NFT
Uso indevido e reutilização de assinaturas:
Falta de validação de execução repetida
A lógica de verificação da assinatura não é rigorosa
Falhas lógicas:
Controle inadequado da quantidade total de moedas
A ordem das transações durante o processo de leilão depende do ataque
Ataque de reentrada ERC721/ERC1155:
A funcionalidade de notificação de transferência pode causar reentrada
A abrangência da autorização é excessiva:
Autorizações globais desnecessárias aumentam o risco de roubo de NFTs
Manipulação de preço:
O preço do NFT depende de fatores externos e é facilmente afetado por métodos como empréstimos relâmpago.
Dada a complexidade dos contratos NFT e os potenciais riscos, é crucial procurar uma empresa de segurança profissional para realizar uma auditoria abrangente, a fim de prevenir possíveis riscos de segurança.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
10 Curtidas
Recompensa
10
3
Compartilhar
Comentário
0/400
PumpStrategist
· 21h atrás
典型idiotas fazer as pessoas de parvas Rekt案例 筹码高位集中都不看的
Ver originalResponder0
ConsensusDissenter
· 22h atrás
64,9 milhões de dólares foram roubados, é realmente absurdo.
Ver originalResponder0
MemeKingNFT
· 22h atrás
Entre as oscilações do continente, os idiotas estão de coração partido. Lembro-me da simplicidade do início do bull run.
Análise dos riscos de segurança dos contratos NFT: lições por trás da perda de 64,90 milhões de dólares no primeiro semestre de 2022
Análise de segurança de contratos NFT: Revisão dos eventos do primeiro semestre de 2022 e discussão de questões comuns
No primeiro semestre de 2022, a situação de segurança no campo dos NFTs era severa. Dados mostram que ocorreram 10 principais incidentes de segurança, resultando em perdas de cerca de 64,9 milhões de dólares. As principais técnicas de ataque incluíam exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. É importante notar que ataques de phishing na plataforma Discord ocorrem quase diariamente, levando a perdas frequentes para usuários individuais.
Análise de Eventos de Segurança Típicos
Evento TreasureDAO
No dia 3 de março, a plataforma de negociação TreasureDAO foi atacada, resultando no roubo de mais de 100 NFTs. A causa foi uma vulnerabilidade lógica provocada pela mistura de tokens ERC-1155 e ERC-721. O contrato não diferenciou os tipos de token ao processar as compras de tokens, permitindo que os atacantes utilizassem tokens ERC-20 para comprar NFTs a custo zero.
Evento de airdrop do APE Coin
No dia 17 de março, hackers obtiveram mais de 60.000 APE Coin em airdrop através de um empréstimo relâmpago. A vulnerabilidade surgiu porque o contrato de airdrop utilizava uma verificação de estado instantânea para determinar a propriedade do NFT, o que pode ser manipulado por empréstimos relâmpago.
Evento Revest Finance
No dia 27 de março, a Revest Finance sofreu um ataque, resultando em uma perda de 120.000 dólares. Este é um exemplo típico de ataque de reentrada ERC-1155, uma vez que o contrato não tratou corretamente a ordem de atualização de estado ao criar novos FNFTs.
NBA薅羊毛事件
No dia 21 de abril, o projeto NBA sofreu um ataque. O problema estava no mecanismo de verificação de assinatura da lista branca, que apresentava duas principais vulnerabilidades: uso indevido de assinatura e reutilização.
Evento Akutar
No dia 23 de abril, o projeto Akutar teve 11539 ETH (cerca de 34 milhões de dólares) bloqueados devido a uma vulnerabilidade no contrato. Os principais problemas incluem falhas no design da função de reembolso e a não consideração da situação em que os usuários fazem múltiplas ofertas.
Evento XCarnival
No dia 24 de junho, o XCarnival foi atacado, resultando em uma perda de 3087 ETH (cerca de 3,8 milhões de dólares). A vulnerabilidade estava na falta de verificação da legitimidade do endereço xToken ao fazer staking de NFT, e na ausência de verificação do estado do registro de colateral durante o empréstimo.
Problemas de segurança comuns em contratos NFT
Uso indevido e reutilização de assinaturas:
Falhas lógicas:
Ataque de reentrada ERC721/ERC1155:
A abrangência da autorização é excessiva:
Manipulação de preço:
Dada a complexidade dos contratos NFT e os potenciais riscos, é crucial procurar uma empresa de segurança profissional para realizar uma auditoria abrangente, a fim de prevenir possíveis riscos de segurança.