Segurança de Contratos NFT: Revisão de Eventos do Primeiro Semestre de 2022 e Pontos de Auditoria
No primeiro semestre de 2022, ocorreram frequentes incidentes de segurança no setor de NFT, resultando em enormes perdas. Segundo uma plataforma de segurança de blockchain, no primeiro semestre ocorreram 10 principais incidentes de segurança de NFT, com perdas acumuladas de cerca de 6.490.000 dólares. As principais formas de ataque incluíram exploração de vulnerabilidades de contrato, vazamento de chaves privadas e phishing. Entre elas, os ataques de phishing na plataforma Discord foram particularmente graves, com quase todos os dias servidores sendo atacados, resultando em perdas de ativos dos usuários.
Revisão de Eventos de Segurança Típicos
Evento TreasureDAO
No dia 3 de março, a plataforma de negociação TreasureDAO foi atacada por hackers, resultando no roubo de mais de 100 NFTs. A vulnerabilidade originou-se de um erro lógico na função buyItem do contrato TreasureMarketplaceBuyer, que não verificou o tipo de token antes de calcular o preço, permitindo que NFTs fossem comprados por um preço de 0 tokens. Isso reflete o problema de confusão lógica causado pela mistura de tokens ERC-1155 e ERC-721.
Evento de airdrop APE Coin
No dia 17 de março, hackers utilizaram um empréstimo relâmpago para obter mais de 60.000 tokens de APE Coin em um airdrop. A vulnerabilidade estava no contrato de airdrop do AirdropGrapesToken, que apenas avaliava a propriedade do NFT através de balanceOf(), e esse método pode ser manipulado por empréstimos relâmpago.
Evento Revest Finance
No dia 27 de março, a Revest Finance sofreu um ataque que resultou em uma perda de 120 mil dólares. A razão foi a existência de uma vulnerabilidade de reentrada ERC-1155 no contrato da Revest, que não tratou corretamente a lógica de mintagem do FNFT.
NBA薅羊毛事件
No dia 21 de abril, o projeto da NBA sofreu um ataque de hackers. O contrato The_Association_Sales teve problemas de falsificação e reutilização de assinaturas durante a verificação da lista branca, sem armazenar e verificar as assinaturas já utilizadas.
Evento Akutar
No dia 23 de abril, uma falha no contrato AkuAuction do projeto Akutar resultou no bloqueio de 11.500 ETH(, cerca de 3.400.000 dólares). Existem duas falhas lógicas principais: a função de reembolso pode ser interrompida maliciosamente e não considera o caso de os usuários fazerem várias ofertas.
Evento XCarnival
No dia 24 de junho, o protocolo de empréstimo XCarnival foi atacado, resultando em uma perda de cerca de 3,8 milhões de dólares. A função pledgeAndBorrow no contrato XNFT não verificou adequadamente o endereço xToken e o estado do registro de colateral.
Perguntas Frequentes sobre Auditoria de Contratos NFT
Uso e reutilização de assinaturas:
Falta de validação de execução duplicada, como o nonce do usuário
Verificação de assinatura não rigorosa, como não verificar o endereço zero
Falha lógica:
Limitação inadequada da quantidade total de moedas
O processo de leilão tem dependência da ordem de transação
Ataque de reentrada ERC721/ERC1155:
A funcionalidade de notificação de transferência pode causar reentrada
A abrangência da autorização é demasiado ampla:
Exige excesso de autorização, aumentando o risco de roubo de ativos
Manipulação de preços:
O preço do NFT depende de dados externos que podem ser manipulados.
Dada a frequência de eventos de segurança em contratos NFT e as grandes perdas associadas, as partes envolvidas no projeto devem dar atenção à auditoria de segurança dos contratos, buscando empresas de segurança profissionais para realizar uma detecção abrangente, a fim de reduzir os riscos de segurança.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
18 Curtidas
Recompensa
18
7
Compartilhar
Comentário
0/400
PessimisticOracle
· 07-08 18:02
Então, perdi 6000w dólares americanos.
Ver originalResponder0
LayerZeroHero
· 07-07 22:54
Afinal, houve problemas na auditoria. Os dados da cadeia não podem mentir.
Ver originalResponder0
BoredRiceBall
· 07-06 22:23
idiotas perdem como se fosse óleo fervente.
Ver originalResponder0
ThesisInvestor
· 07-06 15:15
Isto é absurdo, veja cada um deles.
Ver originalResponder0
ClassicDumpster
· 07-06 15:14
又有idiotas被fazer as pessoas de parvas咯
Ver originalResponder0
MidnightSeller
· 07-06 15:10
Ser enganado por idiotas não tem fim.
Ver originalResponder0
MEVHunterX
· 07-06 14:52
Brincar é uma coisa, não perder dinheiro é que importa. A equipa do projeto é realmente uma armadilha.
As preocupações de segurança dos contratos NFT têm surgido frequentemente, com perdas de 64,9 milhões de dólares no primeiro semestre de 2022.
Segurança de Contratos NFT: Revisão de Eventos do Primeiro Semestre de 2022 e Pontos de Auditoria
No primeiro semestre de 2022, ocorreram frequentes incidentes de segurança no setor de NFT, resultando em enormes perdas. Segundo uma plataforma de segurança de blockchain, no primeiro semestre ocorreram 10 principais incidentes de segurança de NFT, com perdas acumuladas de cerca de 6.490.000 dólares. As principais formas de ataque incluíram exploração de vulnerabilidades de contrato, vazamento de chaves privadas e phishing. Entre elas, os ataques de phishing na plataforma Discord foram particularmente graves, com quase todos os dias servidores sendo atacados, resultando em perdas de ativos dos usuários.
Revisão de Eventos de Segurança Típicos
Evento TreasureDAO
No dia 3 de março, a plataforma de negociação TreasureDAO foi atacada por hackers, resultando no roubo de mais de 100 NFTs. A vulnerabilidade originou-se de um erro lógico na função buyItem do contrato TreasureMarketplaceBuyer, que não verificou o tipo de token antes de calcular o preço, permitindo que NFTs fossem comprados por um preço de 0 tokens. Isso reflete o problema de confusão lógica causado pela mistura de tokens ERC-1155 e ERC-721.
Evento de airdrop APE Coin
No dia 17 de março, hackers utilizaram um empréstimo relâmpago para obter mais de 60.000 tokens de APE Coin em um airdrop. A vulnerabilidade estava no contrato de airdrop do AirdropGrapesToken, que apenas avaliava a propriedade do NFT através de balanceOf(), e esse método pode ser manipulado por empréstimos relâmpago.
Evento Revest Finance
No dia 27 de março, a Revest Finance sofreu um ataque que resultou em uma perda de 120 mil dólares. A razão foi a existência de uma vulnerabilidade de reentrada ERC-1155 no contrato da Revest, que não tratou corretamente a lógica de mintagem do FNFT.
NBA薅羊毛事件
No dia 21 de abril, o projeto da NBA sofreu um ataque de hackers. O contrato The_Association_Sales teve problemas de falsificação e reutilização de assinaturas durante a verificação da lista branca, sem armazenar e verificar as assinaturas já utilizadas.
Evento Akutar
No dia 23 de abril, uma falha no contrato AkuAuction do projeto Akutar resultou no bloqueio de 11.500 ETH(, cerca de 3.400.000 dólares). Existem duas falhas lógicas principais: a função de reembolso pode ser interrompida maliciosamente e não considera o caso de os usuários fazerem várias ofertas.
Evento XCarnival
No dia 24 de junho, o protocolo de empréstimo XCarnival foi atacado, resultando em uma perda de cerca de 3,8 milhões de dólares. A função pledgeAndBorrow no contrato XNFT não verificou adequadamente o endereço xToken e o estado do registro de colateral.
Perguntas Frequentes sobre Auditoria de Contratos NFT
Uso e reutilização de assinaturas:
Falha lógica:
Ataque de reentrada ERC721/ERC1155:
A abrangência da autorização é demasiado ampla:
Manipulação de preços:
Dada a frequência de eventos de segurança em contratos NFT e as grandes perdas associadas, as partes envolvidas no projeto devem dar atenção à auditoria de segurança dos contratos, buscando empresas de segurança profissionais para realizar uma detecção abrangente, a fim de reduzir os riscos de segurança.