Sécurité des contrats NFT : Revue des événements du premier semestre 2022 et analyse des questions courantes
Au cours du premier semestre 2022, des incidents de sécurité dans le domaine des NFT se sont multipliés, entraînant d'énormes pertes économiques. Selon les données d'une plateforme de surveillance, 10 incidents de sécurité majeurs ont été signalés, avec des pertes d'environ 64,9 millions de dollars. Les méthodes d'attaque comprennent principalement l'exploitation de vulnérabilités dans les contrats, la fuite de clés privées et le phishing, entre autres. Il convient de noter que des incidents de phishing sur Discord se produisent presque tous les jours, entraînant des pertes fréquentes pour les utilisateurs individuels.
Revue des incidents de sécurité typiques
événement TreasureDAO
Le 3 mars, la plateforme d'échange TreasureDAO a été victime d'une attaque de hackers, entraînant le vol de plus de 100 NFT. La faille provenait d'une erreur logique dans le contrat TreasureMarketplaceBuyer, qui ne vérifiait pas le type de jeton avant de calculer le prix, permettant ainsi d'acheter des NFT à coût nul. Cet incident a révélé les dangers logiques liés à l'utilisation mixte des jetons ERC-1155 et ERC-721.
événement d'airdrop APE Coin
Le 17 mars, des hackers ont obtenu plus de 60 000 APE Coin grâce à un prêt éclair. La vulnérabilité du contrat d'airdrop AirdropGrapesToken réside dans le fait qu'il ne juge la propriété des NFT qu'en fonction du solde instantané, permettant ainsi aux attaquants d'emprunter des NFT pour obtenir instantanément l'airdrop.
événement Revest Finance
Le 27 mars, Revest Finance a été attaqué, avec une perte de 120 000 $. La vulnérabilité résidait dans une attaque de réentrée ERC-1155, le contrat n'ayant pas effectué de vérifications suffisantes lors de la création de nouveaux FNFT, ce qui a entraîné une vulnérabilité de réentrée.
événement NBA de récupération d'argent
Le 21 avril, le projet NBA a été attaqué. Le contrat The_Association_Sales a des problèmes de falsification et de réutilisation de signature lors de la vérification sur la liste blanche, et n'a pas enregistré ni vérifié les signatures déjà utilisées.
événement Akutar
Le 23 avril, une vulnérabilité dans le contrat AkuAuction du projet Akutar a entraîné le verrouillage de 11 500 ETH (environ 34 millions de dollars). Les principaux problèmes incluent la possibilité d'interruption malveillante de la fonction de remboursement et l'absence de prise en compte des situations de multiple enchères par les utilisateurs, entraînant un échec permanent des remboursements.
événement XCarnival
Le 24 juin, XCarnival a été attaqué, perdant 3087 ETH (environ 3,8 millions de dollars). Le contrat XNFT n'a pas vérifié l'adresse xToken dans la liste blanche lors du staking des NFT et n'a pas vérifié l'état des enregistrements de garantie lors des emprunts, permettant à l'attaquant de réutiliser des enregistrements de garantie invalides pour emprunter.
Questions fréquentes sur l'audit des contrats NFT
Usurpation et réutilisation de signature :
Manque de validation d'exécution répétée, comme le nonce de l'utilisateur
Vérification de la signature irrationnelle, comme le cas de l'adresse nulle non vérifiée
Vulnérabilité logique :
Les administrateurs peuvent frapper des pièces en contournant la limite totale.
Il existe un risque d'attaque par dépendance à l'ordre des transactions pendant le processus d'enchères.
Attaque par réentrance ERC721/ERC1155 :
La fonction de notification de transfert peut entraîner une attaque par réinjection
Portée d'autorisation trop large :
Exiger une autorisation excessive augmente le risque de vol de NFT
Manipulation des prix :
Le prix des NFT dépend des contrats externes et peut être manipulé par des prêts éclair.
Étant donné ces problèmes courants et les incidents de sécurité survenus, il est particulièrement important de procéder à un audit de sécurité professionnel des contrats NFT. Les équipes de projet doivent accorder une grande importance à la sécurité des contrats et prendre des mesures de protection globales pour réduire les risques potentiels.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
18 J'aime
Récompense
18
8
Partager
Commentaire
0/400
WhaleWatcher
· 07-22 11:12
Clé privée encore explosée, qui oserait encore s'y risquer ?
Voir l'originalRépondre0
RetailTherapist
· 07-20 22:36
prendre les gens pour des idiots prendre les gens pour des idiots prendre les gens pour des idiots, il vaut mieux aller copier des devoirs acheter acheter acheter
Voir l'originalRépondre0
GreenCandleCollector
· 07-20 07:14
Encore un grand spectacle de pigeons dans l'univers de la cryptomonnaie.
Voir l'originalRépondre0
GateUser-c802f0e8
· 07-19 15:27
Le contrat est tout simplement plein de failles, il finira par sombrer tôt ou tard.
Voir l'originalRépondre0
shadowy_supercoder
· 07-19 15:12
L'audit du contrat n'a pas réussi, tant pis pour la perte d'argent.
Voir l'originalRépondre0
GateUser-beba108d
· 07-19 15:12
Encore une vulnérabilité de projet découverte. De nos jours, si vous osez acheter, vous avez déjà perdu.
Voir l'originalRépondre0
MetaNeighbor
· 07-19 15:12
Ces personnes qui gèrent des contrats ont-elles au moins étudié la programmation ?
Voir l'originalRépondre0
BackrowObserver
· 07-19 14:58
l'univers de la cryptomonnaie pigeons regardent le spectacle
Les problèmes de sécurité des contrats NFT sont fréquents, avec des pertes de 64,9 millions de dollars au cours du premier semestre.
Sécurité des contrats NFT : Revue des événements du premier semestre 2022 et analyse des questions courantes
Au cours du premier semestre 2022, des incidents de sécurité dans le domaine des NFT se sont multipliés, entraînant d'énormes pertes économiques. Selon les données d'une plateforme de surveillance, 10 incidents de sécurité majeurs ont été signalés, avec des pertes d'environ 64,9 millions de dollars. Les méthodes d'attaque comprennent principalement l'exploitation de vulnérabilités dans les contrats, la fuite de clés privées et le phishing, entre autres. Il convient de noter que des incidents de phishing sur Discord se produisent presque tous les jours, entraînant des pertes fréquentes pour les utilisateurs individuels.
Revue des incidents de sécurité typiques
événement TreasureDAO
Le 3 mars, la plateforme d'échange TreasureDAO a été victime d'une attaque de hackers, entraînant le vol de plus de 100 NFT. La faille provenait d'une erreur logique dans le contrat TreasureMarketplaceBuyer, qui ne vérifiait pas le type de jeton avant de calculer le prix, permettant ainsi d'acheter des NFT à coût nul. Cet incident a révélé les dangers logiques liés à l'utilisation mixte des jetons ERC-1155 et ERC-721.
événement d'airdrop APE Coin
Le 17 mars, des hackers ont obtenu plus de 60 000 APE Coin grâce à un prêt éclair. La vulnérabilité du contrat d'airdrop AirdropGrapesToken réside dans le fait qu'il ne juge la propriété des NFT qu'en fonction du solde instantané, permettant ainsi aux attaquants d'emprunter des NFT pour obtenir instantanément l'airdrop.
événement Revest Finance
Le 27 mars, Revest Finance a été attaqué, avec une perte de 120 000 $. La vulnérabilité résidait dans une attaque de réentrée ERC-1155, le contrat n'ayant pas effectué de vérifications suffisantes lors de la création de nouveaux FNFT, ce qui a entraîné une vulnérabilité de réentrée.
événement NBA de récupération d'argent
Le 21 avril, le projet NBA a été attaqué. Le contrat The_Association_Sales a des problèmes de falsification et de réutilisation de signature lors de la vérification sur la liste blanche, et n'a pas enregistré ni vérifié les signatures déjà utilisées.
événement Akutar
Le 23 avril, une vulnérabilité dans le contrat AkuAuction du projet Akutar a entraîné le verrouillage de 11 500 ETH (environ 34 millions de dollars). Les principaux problèmes incluent la possibilité d'interruption malveillante de la fonction de remboursement et l'absence de prise en compte des situations de multiple enchères par les utilisateurs, entraînant un échec permanent des remboursements.
événement XCarnival
Le 24 juin, XCarnival a été attaqué, perdant 3087 ETH (environ 3,8 millions de dollars). Le contrat XNFT n'a pas vérifié l'adresse xToken dans la liste blanche lors du staking des NFT et n'a pas vérifié l'état des enregistrements de garantie lors des emprunts, permettant à l'attaquant de réutiliser des enregistrements de garantie invalides pour emprunter.
Questions fréquentes sur l'audit des contrats NFT
Usurpation et réutilisation de signature :
Vulnérabilité logique :
Attaque par réentrance ERC721/ERC1155 :
Portée d'autorisation trop large :
Manipulation des prix :
Étant donné ces problèmes courants et les incidents de sécurité survenus, il est particulièrement important de procéder à un audit de sécurité professionnel des contrats NFT. Les équipes de projet doivent accorder une grande importance à la sécurité des contrats et prendre des mesures de protection globales pour réduire les risques potentiels.