Seguridad de contratos NFT: Revisión de eventos del primer semestre de 2022 y puntos clave de auditoría
En la primera mitad de 2022, los incidentes de seguridad en el ámbito de los NFT fueron frecuentes, causando enormes pérdidas. Según una plataforma de seguridad blockchain, se produjeron un total de 10 incidentes importantes de seguridad en NFT en la primera mitad del año, con una pérdida acumulada de aproximadamente 64.9 millones de dólares. Los métodos de ataque incluyeron principalmente la explotación de vulnerabilidades de contratos, la filtración de claves privadas y el phishing. Entre ellos, los ataques de phishing en la plataforma Discord fueron particularmente rampantes, con servidores siendo atacados casi a diario, lo que resultó en la pérdida de activos de los usuarios.
Revisión de eventos de seguridad típicos
Evento TreasureDAO
El 3 de marzo, la plataforma de intercambio TreasureDAO fue atacada por hackers, robando más de 100 NFT. La vulnerabilidad provino de un error lógico en la función buyItem del contrato TreasureMarketplaceBuyer, que calculó el precio sin verificar el tipo de token, lo que permitió comprar NFT a un precio de 0 tokens. Esto refleja el problema de confusión lógica causado por el uso combinado de tokens ERC-1155 y ERC-721.
evento de lanzamiento aéreo de APE Coin
El 17 de marzo, un hacker utilizó un préstamo relámpago para obtener más de 60,000 tokens APE Coin en un airdrop. La vulnerabilidad estaba presente en el contrato de airdrop de AirdropGrapesToken, que solo verificaba la propiedad del NFT a través de balanceOf(), y este método podía ser manipulado por el préstamo relámpago.
Evento de Revest Finance
El 27 de marzo, Revest Finance sufrió un ataque que resultó en pérdidas de 120,000 dólares. La causa fue una vulnerabilidad de reentrada ERC-1155 en el contrato de Revest, que no manejó correctamente la lógica de acuñación de FNFT.
evento de aprovecharse de la NBA
El 21 de abril, el proyecto de la NBA sufrió un ataque de hackers. El contrato The_Association_Sales tenía problemas de suplantación y reutilización de firmas durante la verificación de la lista blanca, y no almacenó ni verificó las firmas ya utilizadas.
Evento Akutar
El 23 de abril, un fallo en el contrato AkuAuction del proyecto Akutar provocó el bloqueo de 11,500 ETH (, aproximadamente 34 millones de dólares ). Existen principalmente dos fallos lógicos: la función de reembolso puede ser interrumpida maliciosamente y no se considera la situación de que los usuarios realicen múltiples ofertas.
evento XCarnival
El 24 de junio, el protocolo de préstamos XCarnival fue atacado, con pérdidas de aproximadamente 3.8 millones de dólares. La función pledgeAndBorrow en el contrato XNFT no verificó adecuadamente la dirección xToken y el estado del registro de colaterales.
Preguntas frecuentes sobre la auditoría de contratos NFT
Suplantación y reutilización de firmas:
Falta la verificación de ejecución repetida, como el nonce del usuario
La verificación de la firma no es estricta, como si no se ha verificado la dirección cero.
Vulnerabilidad lógica:
Restricción inadecuada del suministro total de monedas
El proceso de subasta tiene dependencia del orden de las transacciones
Ataque de reentrada ERC721/ERC1155:
La función de notificación de transferencia puede causar reentrada
Alcance de autorización demasiado amplio:
Requiere una autorización excesiva, aumentando el riesgo de robo de activos
Manipulación de precios:
El precio del NFT depende de datos externos que pueden ser manipulados
Dado que los eventos de seguridad de contratos NFT son frecuentes y las pérdidas son enormes, los desarrolladores del proyecto deben dar importancia a las auditorías de seguridad de los contratos y buscar empresas de seguridad profesionales para realizar pruebas exhaustivas, con el fin de reducir los riesgos de seguridad.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
18 me gusta
Recompensa
18
7
Compartir
Comentar
0/400
PessimisticOracle
· 07-08 18:02
También se perdió 6000w dólares.
Ver originalesResponder0
LayerZeroHero
· 07-07 22:54
Efectivamente, hubo un problema en la auditoría. Los datos de la cadena no pueden mentir.
Ver originalesResponder0
BoredRiceBall
· 07-06 22:23
tontos pierden como si una olla de aceite estuviera explotando
Ver originalesResponder0
ThesisInvestor
· 07-06 15:15
Esto es ridículo, mira a cada uno.
Ver originalesResponder0
ClassicDumpster
· 07-06 15:14
Otra vez, tontos han sido tomados por tonta.
Ver originalesResponder0
MidnightSeller
· 07-06 15:10
Ser engañados no tiene fin.
Ver originalesResponder0
MEVHunterX
· 07-06 14:52
Jugar está bien, mientras no pierdas dinero. El equipo detrás del proyecto es realmente un engaño.
Las vulnerabilidades de seguridad en los contratos NFT son frecuentes, y en la primera mitad de 2022 se perdieron 64.9 millones de dólares.
Seguridad de contratos NFT: Revisión de eventos del primer semestre de 2022 y puntos clave de auditoría
En la primera mitad de 2022, los incidentes de seguridad en el ámbito de los NFT fueron frecuentes, causando enormes pérdidas. Según una plataforma de seguridad blockchain, se produjeron un total de 10 incidentes importantes de seguridad en NFT en la primera mitad del año, con una pérdida acumulada de aproximadamente 64.9 millones de dólares. Los métodos de ataque incluyeron principalmente la explotación de vulnerabilidades de contratos, la filtración de claves privadas y el phishing. Entre ellos, los ataques de phishing en la plataforma Discord fueron particularmente rampantes, con servidores siendo atacados casi a diario, lo que resultó en la pérdida de activos de los usuarios.
Revisión de eventos de seguridad típicos
Evento TreasureDAO
El 3 de marzo, la plataforma de intercambio TreasureDAO fue atacada por hackers, robando más de 100 NFT. La vulnerabilidad provino de un error lógico en la función buyItem del contrato TreasureMarketplaceBuyer, que calculó el precio sin verificar el tipo de token, lo que permitió comprar NFT a un precio de 0 tokens. Esto refleja el problema de confusión lógica causado por el uso combinado de tokens ERC-1155 y ERC-721.
evento de lanzamiento aéreo de APE Coin
El 17 de marzo, un hacker utilizó un préstamo relámpago para obtener más de 60,000 tokens APE Coin en un airdrop. La vulnerabilidad estaba presente en el contrato de airdrop de AirdropGrapesToken, que solo verificaba la propiedad del NFT a través de balanceOf(), y este método podía ser manipulado por el préstamo relámpago.
Evento de Revest Finance
El 27 de marzo, Revest Finance sufrió un ataque que resultó en pérdidas de 120,000 dólares. La causa fue una vulnerabilidad de reentrada ERC-1155 en el contrato de Revest, que no manejó correctamente la lógica de acuñación de FNFT.
evento de aprovecharse de la NBA
El 21 de abril, el proyecto de la NBA sufrió un ataque de hackers. El contrato The_Association_Sales tenía problemas de suplantación y reutilización de firmas durante la verificación de la lista blanca, y no almacenó ni verificó las firmas ya utilizadas.
Evento Akutar
El 23 de abril, un fallo en el contrato AkuAuction del proyecto Akutar provocó el bloqueo de 11,500 ETH (, aproximadamente 34 millones de dólares ). Existen principalmente dos fallos lógicos: la función de reembolso puede ser interrumpida maliciosamente y no se considera la situación de que los usuarios realicen múltiples ofertas.
evento XCarnival
El 24 de junio, el protocolo de préstamos XCarnival fue atacado, con pérdidas de aproximadamente 3.8 millones de dólares. La función pledgeAndBorrow en el contrato XNFT no verificó adecuadamente la dirección xToken y el estado del registro de colaterales.
Preguntas frecuentes sobre la auditoría de contratos NFT
Suplantación y reutilización de firmas:
Vulnerabilidad lógica:
Ataque de reentrada ERC721/ERC1155:
Alcance de autorización demasiado amplio:
Manipulación de precios:
Dado que los eventos de seguridad de contratos NFT son frecuentes y las pérdidas son enormes, los desarrolladores del proyecto deben dar importancia a las auditorías de seguridad de los contratos y buscar empresas de seguridad profesionales para realizar pruebas exhaustivas, con el fin de reducir los riesgos de seguridad.