Las vulnerabilidades de seguridad en los contratos NFT son frecuentes, con pérdidas de 64.90 millones de dólares en la primera mitad del año.

Seguridad de contratos NFT: Revisión de eventos del primer semestre de 2022 y análisis de preguntas frecuentes

En la primera mitad de 2022, ocurrieron frecuentes incidentes de seguridad en el ámbito de los NFT, causando enormes pérdidas económicas. Según el monitoreo de plataformas de datos, se produjeron 10 incidentes de seguridad principales, con pérdidas de aproximadamente 64.9 millones de dólares. Las principales formas de ataque incluyen la explotación de vulnerabilidades en contratos, filtraciones de claves privadas y phishing, entre otros. Cabe destacar que los incidentes de phishing en Discord ocurren casi a diario, lo que lleva a que los usuarios individuales sufran pérdidas con frecuencia.

Análisis de incidentes de seguridad de NFT en la primera mitad del año: ¿qué casos típicos debemos tener en cuenta?

Revisión de eventos de seguridad típicos

Evento TreasureDAO

El 3 de marzo, la plataforma de intercambio TreasureDAO fue atacada por hackers, y más de 100 NFT fueron robados. La vulnerabilidad se originó en un error lógico en el contrato TreasureMarketplaceBuyer, que calculó el precio sin verificar el tipo de token, lo que permitió comprar NFT a costo cero. Este incidente expuso los riesgos lógicos asociados con el uso combinado de tokens ERC-1155 y ERC-721.

evento de airdrop de APE Coin

El 17 de marzo, un hacker obtuvo más de 60,000 APE Coin a través de un préstamo relámpago. La vulnerabilidad del contrato de airdrop de AirdropGrapesToken radica en que solo se juzga la propiedad del NFT a través del saldo instantáneo, lo que permite al atacante pedir prestado un NFT y obtener instantáneamente el airdrop.

Evento de Revest Finance

El 27 de marzo, Revest Finance sufrió un ataque, con pérdidas de 120,000 dólares. La vulnerabilidad existía en un ataque de reentrada ERC-1155, ya que el contrato no realizó suficientes verificaciones al acuñar nuevos FNFT, lo que llevó a la vulnerabilidad de reentrada.

evento de aprovechamiento de la NBA

El 21 de abril, el proyecto de la NBA fue atacado. El contrato The_Association_Sales tenía problemas de suplantación y reutilización de firmas durante la verificación de la lista blanca, y no registró ni verificó las firmas ya utilizadas.

Evento Akutar

El 23 de abril, una vulnerabilidad en el contrato AkuAuction del proyecto Akutar llevó a que se bloquearan 11,500 ETH (aproximadamente 34 millones de dólares). Los principales problemas incluyen que la función de reembolso puede ser interrumpida de manera maliciosa, así como no considerar la situación de múltiples pujas por parte de los usuarios, lo que resulta en fallos permanentes en el reembolso.

evento XCarnival

El 24 de junio, XCarnival fue atacado, perdiendo 3087 ETH (aproximadamente 3.8 millones de dólares). El contrato XNFT no verificó la lista blanca de la dirección xToken al apostar NFT, y no revisó el estado del registro de garantía durante el préstamo, lo que permitió a los atacantes reutilizar registros de garantía inválidos para obtener préstamos.

Análisis de eventos de seguridad de NFT en la primera mitad del año: ¿qué casos típicos debemos tener en cuenta?

Preguntas frecuentes sobre la auditoría de contratos NFT

  1. Suplantación y reutilización de firmas:

    • Falta la verificación de ejecución repetida, como el nonce del usuario
    • Verificación de firma no razonable, como no verificar el caso de la dirección cero
  2. Vulnerabilidades lógicas:

    • Los administradores pueden acuñar monedas y eludir los límites de cantidad total
    • Existe el riesgo de ataques de dependencia del orden de las transacciones durante el proceso de subasta.
  3. Ataque de reentrada ERC721/ERC1155:

    • La función de notificación de transferencias puede provocar ataques de reentrada
  4. El alcance de la autorización es demasiado amplio:

    • Exigir una autorización excesiva aumenta el riesgo de robo de NFT
  5. Manipulación de precios:

    • El precio de NFT depende de contratos externos y puede ser manipulado por préstamos relámpago.

Dada la ocurrencia de estas preguntas comunes y los incidentes de seguridad que han sucedido, es especialmente importante llevar a cabo una auditoría de seguridad profesional en los contratos de NFT. Los equipos de proyectos deben dar importancia a la seguridad de los contratos y adoptar medidas de protección integrales para reducir los riesgos potenciales.

Análisis de eventos de seguridad NFT en el primer semestre: ¿Qué casos típicos debemos tener en cuenta?

Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
  • Recompensa
  • 8
  • Compartir
Comentar
0/400
WhaleWatchervip
· 07-22 11:12
Llave privada otra vez explota, ¿quién se atreve a arriesgar?
Ver originalesResponder0
RetailTherapistvip
· 07-20 22:36
tomar a la gente por tonta tomar a la gente por tonta tomar a la gente por tonta aún es mejor que copiar tareas comprar comprar comprar
Ver originalesResponder0
GreenCandleCollectorvip
· 07-20 07:14
Otra vez la gran obra de tomar a la gente por tonta en el mundo Cripto.
Ver originalesResponder0
GateUser-c802f0e8vip
· 07-19 15:27
El contrato está lleno de fallos, tarde o temprano se hundirá.
Ver originalesResponder0
shadowy_supercodervip
· 07-19 15:12
La auditoría del contrato no pasó, mereces perder dinero.
Ver originalesResponder0
GateUser-beba108dvip
· 07-19 15:12
Se ha descubierto otra vulnerabilidad en el proyecto. En estos tiempos, si te atreves a comprar, ya has perdido.
Ver originalesResponder0
MetaNeighborvip
· 07-19 15:12
¿Acaso las personas que gestionan estos contratos han aprendido programación al menos?
Ver originalesResponder0
BackrowObservervip
· 07-19 14:58
mundo Cripto tontos ven el espectáculo
Ver originalesResponder0
Opere con criptomonedas en cualquier momento y lugar
qrCode
Escanee para descargar la aplicación Gate
Comunidad
Español
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)