Seguridad de contratos NFT: Revisión de eventos del primer semestre de 2022 y análisis de preguntas frecuentes
En la primera mitad de 2022, ocurrieron frecuentes incidentes de seguridad en el ámbito de los NFT, causando enormes pérdidas económicas. Según el monitoreo de plataformas de datos, se produjeron 10 incidentes de seguridad principales, con pérdidas de aproximadamente 64.9 millones de dólares. Las principales formas de ataque incluyen la explotación de vulnerabilidades en contratos, filtraciones de claves privadas y phishing, entre otros. Cabe destacar que los incidentes de phishing en Discord ocurren casi a diario, lo que lleva a que los usuarios individuales sufran pérdidas con frecuencia.
Revisión de eventos de seguridad típicos
Evento TreasureDAO
El 3 de marzo, la plataforma de intercambio TreasureDAO fue atacada por hackers, y más de 100 NFT fueron robados. La vulnerabilidad se originó en un error lógico en el contrato TreasureMarketplaceBuyer, que calculó el precio sin verificar el tipo de token, lo que permitió comprar NFT a costo cero. Este incidente expuso los riesgos lógicos asociados con el uso combinado de tokens ERC-1155 y ERC-721.
evento de airdrop de APE Coin
El 17 de marzo, un hacker obtuvo más de 60,000 APE Coin a través de un préstamo relámpago. La vulnerabilidad del contrato de airdrop de AirdropGrapesToken radica en que solo se juzga la propiedad del NFT a través del saldo instantáneo, lo que permite al atacante pedir prestado un NFT y obtener instantáneamente el airdrop.
Evento de Revest Finance
El 27 de marzo, Revest Finance sufrió un ataque, con pérdidas de 120,000 dólares. La vulnerabilidad existía en un ataque de reentrada ERC-1155, ya que el contrato no realizó suficientes verificaciones al acuñar nuevos FNFT, lo que llevó a la vulnerabilidad de reentrada.
evento de aprovechamiento de la NBA
El 21 de abril, el proyecto de la NBA fue atacado. El contrato The_Association_Sales tenía problemas de suplantación y reutilización de firmas durante la verificación de la lista blanca, y no registró ni verificó las firmas ya utilizadas.
Evento Akutar
El 23 de abril, una vulnerabilidad en el contrato AkuAuction del proyecto Akutar llevó a que se bloquearan 11,500 ETH (aproximadamente 34 millones de dólares). Los principales problemas incluyen que la función de reembolso puede ser interrumpida de manera maliciosa, así como no considerar la situación de múltiples pujas por parte de los usuarios, lo que resulta en fallos permanentes en el reembolso.
evento XCarnival
El 24 de junio, XCarnival fue atacado, perdiendo 3087 ETH (aproximadamente 3.8 millones de dólares). El contrato XNFT no verificó la lista blanca de la dirección xToken al apostar NFT, y no revisó el estado del registro de garantía durante el préstamo, lo que permitió a los atacantes reutilizar registros de garantía inválidos para obtener préstamos.
Preguntas frecuentes sobre la auditoría de contratos NFT
Suplantación y reutilización de firmas:
Falta la verificación de ejecución repetida, como el nonce del usuario
Verificación de firma no razonable, como no verificar el caso de la dirección cero
Vulnerabilidades lógicas:
Los administradores pueden acuñar monedas y eludir los límites de cantidad total
Existe el riesgo de ataques de dependencia del orden de las transacciones durante el proceso de subasta.
Ataque de reentrada ERC721/ERC1155:
La función de notificación de transferencias puede provocar ataques de reentrada
El alcance de la autorización es demasiado amplio:
Exigir una autorización excesiva aumenta el riesgo de robo de NFT
Manipulación de precios:
El precio de NFT depende de contratos externos y puede ser manipulado por préstamos relámpago.
Dada la ocurrencia de estas preguntas comunes y los incidentes de seguridad que han sucedido, es especialmente importante llevar a cabo una auditoría de seguridad profesional en los contratos de NFT. Los equipos de proyectos deben dar importancia a la seguridad de los contratos y adoptar medidas de protección integrales para reducir los riesgos potenciales.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
18 me gusta
Recompensa
18
8
Compartir
Comentar
0/400
WhaleWatcher
· 07-22 11:12
Llave privada otra vez explota, ¿quién se atreve a arriesgar?
Ver originalesResponder0
RetailTherapist
· 07-20 22:36
tomar a la gente por tonta tomar a la gente por tonta tomar a la gente por tonta aún es mejor que copiar tareas comprar comprar comprar
Ver originalesResponder0
GreenCandleCollector
· 07-20 07:14
Otra vez la gran obra de tomar a la gente por tonta en el mundo Cripto.
Ver originalesResponder0
GateUser-c802f0e8
· 07-19 15:27
El contrato está lleno de fallos, tarde o temprano se hundirá.
Ver originalesResponder0
shadowy_supercoder
· 07-19 15:12
La auditoría del contrato no pasó, mereces perder dinero.
Ver originalesResponder0
GateUser-beba108d
· 07-19 15:12
Se ha descubierto otra vulnerabilidad en el proyecto. En estos tiempos, si te atreves a comprar, ya has perdido.
Ver originalesResponder0
MetaNeighbor
· 07-19 15:12
¿Acaso las personas que gestionan estos contratos han aprendido programación al menos?
Las vulnerabilidades de seguridad en los contratos NFT son frecuentes, con pérdidas de 64.90 millones de dólares en la primera mitad del año.
Seguridad de contratos NFT: Revisión de eventos del primer semestre de 2022 y análisis de preguntas frecuentes
En la primera mitad de 2022, ocurrieron frecuentes incidentes de seguridad en el ámbito de los NFT, causando enormes pérdidas económicas. Según el monitoreo de plataformas de datos, se produjeron 10 incidentes de seguridad principales, con pérdidas de aproximadamente 64.9 millones de dólares. Las principales formas de ataque incluyen la explotación de vulnerabilidades en contratos, filtraciones de claves privadas y phishing, entre otros. Cabe destacar que los incidentes de phishing en Discord ocurren casi a diario, lo que lleva a que los usuarios individuales sufran pérdidas con frecuencia.
Revisión de eventos de seguridad típicos
Evento TreasureDAO
El 3 de marzo, la plataforma de intercambio TreasureDAO fue atacada por hackers, y más de 100 NFT fueron robados. La vulnerabilidad se originó en un error lógico en el contrato TreasureMarketplaceBuyer, que calculó el precio sin verificar el tipo de token, lo que permitió comprar NFT a costo cero. Este incidente expuso los riesgos lógicos asociados con el uso combinado de tokens ERC-1155 y ERC-721.
evento de airdrop de APE Coin
El 17 de marzo, un hacker obtuvo más de 60,000 APE Coin a través de un préstamo relámpago. La vulnerabilidad del contrato de airdrop de AirdropGrapesToken radica en que solo se juzga la propiedad del NFT a través del saldo instantáneo, lo que permite al atacante pedir prestado un NFT y obtener instantáneamente el airdrop.
Evento de Revest Finance
El 27 de marzo, Revest Finance sufrió un ataque, con pérdidas de 120,000 dólares. La vulnerabilidad existía en un ataque de reentrada ERC-1155, ya que el contrato no realizó suficientes verificaciones al acuñar nuevos FNFT, lo que llevó a la vulnerabilidad de reentrada.
evento de aprovechamiento de la NBA
El 21 de abril, el proyecto de la NBA fue atacado. El contrato The_Association_Sales tenía problemas de suplantación y reutilización de firmas durante la verificación de la lista blanca, y no registró ni verificó las firmas ya utilizadas.
Evento Akutar
El 23 de abril, una vulnerabilidad en el contrato AkuAuction del proyecto Akutar llevó a que se bloquearan 11,500 ETH (aproximadamente 34 millones de dólares). Los principales problemas incluyen que la función de reembolso puede ser interrumpida de manera maliciosa, así como no considerar la situación de múltiples pujas por parte de los usuarios, lo que resulta en fallos permanentes en el reembolso.
evento XCarnival
El 24 de junio, XCarnival fue atacado, perdiendo 3087 ETH (aproximadamente 3.8 millones de dólares). El contrato XNFT no verificó la lista blanca de la dirección xToken al apostar NFT, y no revisó el estado del registro de garantía durante el préstamo, lo que permitió a los atacantes reutilizar registros de garantía inválidos para obtener préstamos.
Preguntas frecuentes sobre la auditoría de contratos NFT
Suplantación y reutilización de firmas:
Vulnerabilidades lógicas:
Ataque de reentrada ERC721/ERC1155:
El alcance de la autorización es demasiado amplio:
Manipulación de precios:
Dada la ocurrencia de estas preguntas comunes y los incidentes de seguridad que han sucedido, es especialmente importante llevar a cabo una auditoría de seguridad profesional en los contratos de NFT. Los equipos de proyectos deben dar importancia a la seguridad de los contratos y adoptar medidas de protección integrales para reducir los riesgos potenciales.