Sécurité des contrats NFT : Revue des événements du premier semestre 2022 et points d'audit
Au cours du premier semestre 2022, des événements de sécurité dans le domaine des NFT se sont multipliés, entraînant d'énormes pertes. Selon une plateforme de sécurité blockchain, 10 incidents de sécurité majeurs liés aux NFT ont été signalés au cours du semestre, avec des pertes cumulées d'environ 64,9 millions de dollars. Les principales méthodes d'attaque incluent l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing. Parmi celles-ci, les attaques de phishing sur la plateforme Discord étaient particulièrement répandues, presque chaque jour, des serveurs subissaient des attaques, entraînant des pertes d'actifs pour les utilisateurs.
Revue des événements de sécurité typiques
événement TreasureDAO
Le 3 mars, la plateforme de trading TreasureDAO a été victime d'une attaque de hackers, avec plus de 100 NFT volés. La vulnérabilité provient d'une erreur logique dans la fonction buyItem du contrat TreasureMarketplaceBuyer, qui a calculé le prix sans vérifier le type de jeton, permettant d'acheter des NFT à prix 0 jeton. Cela illustre le problème de confusion logique causé par l'utilisation mixte des jetons ERC-1155 et ERC-721.
Événement de distribution de APE Coin
Le 17 mars, des hackers ont utilisé des prêts flash pour obtenir plus de 60 000 APE Coin en airdrop. La vulnérabilité se trouvait dans le contrat d'airdrop AirdropGrapesToken, qui ne vérifiait la propriété des NFT que par balanceOf(), une méthode pouvant être manipulée par des prêts flash.
Événement Revest Finance
Le 27 mars, Revest Finance a été attaqué et a subi une perte de 120 000 $. La raison en est qu'il existe une vulnérabilité de réentrance ERC-1155 dans le contrat Revest, qui ne gère pas correctement la logique de minting des FNFT.
événement de profit à l'NBA
Le 21 avril, le projet NBA a été attaqué par des hackers. Le contrat The_Association_Sales présente des problèmes de contrefaçon et de réutilisation de signatures lors de la vérification sur la liste blanche, sans stockage ni vérification des signatures déjà utilisées.
événement Akutar
Le 23 avril, une vulnérabilité dans le contrat AkuAuction du projet Akutar a entraîné le verrouillage de 11 500 ETH(, soit environ 34 millions de dollars). Deux principales vulnérabilités logiques existent : la fonction de remboursement peut être interrompue de manière malveillante et la situation des utilisateurs enchérissant plusieurs fois n'a pas été prise en compte.
événement XCarnival
Le 24 juin, le protocole de prêt XCarnival a été attaqué avec une perte d'environ 3,8 millions de dollars. La fonction pledgeAndBorrow dans le contrat XNFT n'a pas effectué de vérifications efficaces de l'adresse xToken et de l'état des enregistrements de garantie.
Questions fréquentes sur l'audit des contrats NFT
Usurpation et réutilisation de signature:
Manque de vérification d'exécution répétée, comme le nonce de l'utilisateur
Vérification de la signature non stricte, par exemple, adresse nulle non vérifiée
Vulnérabilité logique :
Limitation inappropriée de l'offre totale de jetons
Le processus d'enchères présente une dépendance à l'ordre des transactions
Attaque par réentrance ERC721/ERC1155:
La fonction de notification de transfert peut entraîner une réentrante
Champ d'autorisation trop large:
Exiger une autorisation excessive, augmentant le risque de vol d'actifs
Manipulation des prix:
Le prix des NFT dépend de données externes pouvant être manipulées
Étant donné que les événements de sécurité liés aux contrats NFT se multiplient et entraînent des pertes considérables, les équipes de projet doivent accorder une grande importance à l'audit de la sécurité des contrats et rechercher des entreprises de sécurité professionnelles pour effectuer des tests complets afin de réduire les risques de sécurité.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
18 J'aime
Récompense
18
7
Partager
Commentaire
0/400
PessimisticOracle
· 07-08 18:02
Donc, une perte de 6000w dollars américains.
Voir l'originalRépondre0
LayerZeroHero
· 07-07 22:54
Il s'avère que l'audit a présenté des problèmes, les données de la chaîne ne peuvent pas mentir.
Voir l'originalRépondre0
BoredRiceBall
· 07-06 22:23
pigeons perdent de l'argent comme de l'huile qui explose dans une poêle
Voir l'originalRépondre0
ThesisInvestor
· 07-06 15:15
C'est ridicule, regardez un par un.
Voir l'originalRépondre0
ClassicDumpster
· 07-06 15:14
Encore des pigeons qui se font prendre les gens pour des idiots.
Voir l'originalRépondre0
MidnightSeller
· 07-06 15:10
Se faire prendre pour des cons, c'est sans fin.
Voir l'originalRépondre0
MEVHunterX
· 07-06 14:52
Jouez pour le plaisir, tant que vous ne perdez pas d'argent. Le projet de fête est vraiment une arnaque.
Les problèmes de sécurité des contrats NFT se multiplient, avec des pertes de 64,9 millions de dollars au premier semestre 2022.
Sécurité des contrats NFT : Revue des événements du premier semestre 2022 et points d'audit
Au cours du premier semestre 2022, des événements de sécurité dans le domaine des NFT se sont multipliés, entraînant d'énormes pertes. Selon une plateforme de sécurité blockchain, 10 incidents de sécurité majeurs liés aux NFT ont été signalés au cours du semestre, avec des pertes cumulées d'environ 64,9 millions de dollars. Les principales méthodes d'attaque incluent l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing. Parmi celles-ci, les attaques de phishing sur la plateforme Discord étaient particulièrement répandues, presque chaque jour, des serveurs subissaient des attaques, entraînant des pertes d'actifs pour les utilisateurs.
Revue des événements de sécurité typiques
événement TreasureDAO
Le 3 mars, la plateforme de trading TreasureDAO a été victime d'une attaque de hackers, avec plus de 100 NFT volés. La vulnérabilité provient d'une erreur logique dans la fonction buyItem du contrat TreasureMarketplaceBuyer, qui a calculé le prix sans vérifier le type de jeton, permettant d'acheter des NFT à prix 0 jeton. Cela illustre le problème de confusion logique causé par l'utilisation mixte des jetons ERC-1155 et ERC-721.
Événement de distribution de APE Coin
Le 17 mars, des hackers ont utilisé des prêts flash pour obtenir plus de 60 000 APE Coin en airdrop. La vulnérabilité se trouvait dans le contrat d'airdrop AirdropGrapesToken, qui ne vérifiait la propriété des NFT que par balanceOf(), une méthode pouvant être manipulée par des prêts flash.
Événement Revest Finance
Le 27 mars, Revest Finance a été attaqué et a subi une perte de 120 000 $. La raison en est qu'il existe une vulnérabilité de réentrance ERC-1155 dans le contrat Revest, qui ne gère pas correctement la logique de minting des FNFT.
événement de profit à l'NBA
Le 21 avril, le projet NBA a été attaqué par des hackers. Le contrat The_Association_Sales présente des problèmes de contrefaçon et de réutilisation de signatures lors de la vérification sur la liste blanche, sans stockage ni vérification des signatures déjà utilisées.
événement Akutar
Le 23 avril, une vulnérabilité dans le contrat AkuAuction du projet Akutar a entraîné le verrouillage de 11 500 ETH(, soit environ 34 millions de dollars). Deux principales vulnérabilités logiques existent : la fonction de remboursement peut être interrompue de manière malveillante et la situation des utilisateurs enchérissant plusieurs fois n'a pas été prise en compte.
événement XCarnival
Le 24 juin, le protocole de prêt XCarnival a été attaqué avec une perte d'environ 3,8 millions de dollars. La fonction pledgeAndBorrow dans le contrat XNFT n'a pas effectué de vérifications efficaces de l'adresse xToken et de l'état des enregistrements de garantie.
Questions fréquentes sur l'audit des contrats NFT
Usurpation et réutilisation de signature:
Vulnérabilité logique :
Attaque par réentrance ERC721/ERC1155:
Champ d'autorisation trop large:
Manipulation des prix:
Étant donné que les événements de sécurité liés aux contrats NFT se multiplient et entraînent des pertes considérables, les équipes de projet doivent accorder une grande importance à l'audit de la sécurité des contrats et rechercher des entreprises de sécurité professionnelles pour effectuer des tests complets afin de réduire les risques de sécurité.