Segurança de contratos NFT: Revisão de eventos do primeiro semestre de 2022 e análise de perguntas frequentes
No primeiro semestre de 2022, o setor de NFT enfrentou uma série de eventos de segurança, resultando em enormes perdas econômicas. De acordo com a monitorização da plataforma de dados, ocorreram 10 principais eventos de segurança, com perdas de cerca de 64,9 milhões de dólares. Os métodos de ataque incluíram principalmente a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Vale ressaltar que os eventos de phishing no Discord estão quase a acontecer diariamente, levando a perdas frequentes para os usuários individuais.
Revisão de eventos de segurança típicos
Evento TreasureDAO
No dia 3 de março, a plataforma de negociação TreasureDAO foi atacada por hackers, resultando no roubo de mais de 100 NFTs. A vulnerabilidade originou-se de um erro lógico no contrato TreasureMarketplaceBuyer, que calculou o preço sem verificar o tipo de token, permitindo a compra de NFTs a custo zero. Este incidente expôs os riscos lógicos associados ao uso misto de tokens ERC-1155 e ERC-721.
APE Coin airdrop event
No dia 17 de março, hackers obtiveram mais de 60 mil APE Coin através de um empréstimo relâmpago. A vulnerabilidade do contrato do airdrop AirdropGrapesToken reside no fato de que a propriedade do NFT é determinada apenas pelo saldo instantâneo, permitindo que os atacantes tomem emprestado o NFT e consigam o airdrop instantaneamente.
Evento Revest Finance
No dia 27 de março, a Revest Finance foi atacada, resultando em uma perda de 120 mil dólares. A vulnerabilidade estava na reentrada do ERC-1155, onde o contrato não verificou adequadamente durante a mintagem de novos FNFTs, levando a uma vulnerabilidade de reentrada.
Evento de exploração da NBA
No dia 21 de abril, o projeto da NBA foi atacado. O contrato The_Association_Sales apresentou problemas de falsificação e reutilização de assinaturas durante a validação na lista branca, não registrando nem verificando as assinaturas já utilizadas.
Evento Akutar
No dia 23 de abril, uma falha no contrato AkuAuction do projeto Akutar resultou no bloqueio de 11.500 ETH (cerca de 34 milhões de dólares). Os principais problemas incluem a possibilidade de interrupção maliciosa da função de reembolso e a falta de consideração da situação de múlt ofertas dos usuários, o que levou a falhas permanentes no reembolso.
Evento XCarnival
No dia 24 de junho, o XCarnival foi atacado, resultando em uma perda de 3087 ETH (aproximadamente 3,8 milhões de dólares). O contrato XNFT não verificou a lista de permissões do endereço xToken ao fazer a aposta de NFTs e não verificou o estado do registro de colateral durante o empréstimo, permitindo que o atacante reutilizasse registros de colateral inválidos para empréstimos.
Questões Frequentes sobre Auditoria de Contratos NFT
Uso e reutilização de assinaturas:
Falta a validação de execução duplicada, como o nonce do usuário
Verificação de assinatura não razoável, como a falta de verificação da situação do endereço zero
Falha lógica:
O administrador da cunhagem pode contornar o limite total.
Durante o processo de leilão, existe o risco de ataque de dependência da ordem das transações.
Ataque de reentrada ERC721/ERC1155:
A funcionalidade de notificação de transferência pode levar a ataques de reentrada
O alcance da autorização é demasiado amplo:
Requer autorização excessiva, aumentando o risco de roubo de NFT
Manipulação de preços:
O preço do NFT depende de contratos externos, podendo ser manipulado por empréstimos relâmpago.
Dada a ocorrência dessas questões comuns e eventos de segurança que realmente aconteceram, é especialmente importante realizar uma auditoria de segurança profissional nos contratos de NFT. As equipes de projeto devem dar atenção à segurança dos contratos e adotar medidas de proteção abrangentes para reduzir riscos potenciais.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
16 Curtidas
Recompensa
16
8
Compartilhar
Comentário
0/400
WhaleWatcher
· 36m atrás
Chave privada novamente explodiu, quem ainda se atreve a arriscar?
Ver originalResponder0
RetailTherapist
· 07-20 22:36
fazer as pessoas de parvas fazer as pessoas de parvas fazer as pessoas de parvas ainda é melhor ir copiar deveres e comprar comprar comprar
Ver originalResponder0
GreenCandleCollector
· 07-20 07:14
Outra grande peça de fazer as pessoas de parvas no mundo crypto.
Ver originalResponder0
GateUser-c802f0e8
· 07-19 15:27
O contrato está cheio de falhas, mais cedo ou mais tarde vai afundar.
Ver originalResponder0
shadowy_supercoder
· 07-19 15:12
A auditoria do contrato não passou, mereceu perder dinheiro.
Ver originalResponder0
GateUser-beba108d
· 07-19 15:12
Outra vulnerabilidade do projeto foi descoberta. Hoje em dia, quem se atreve a comprar já perdeu.
Ver originalResponder0
MetaNeighbor
· 07-19 15:12
Essas pessoas que gerenciam os contratos realmente aprenderam programação?
Vulnerabilidades de segurança em contratos NFT são frequentes, com perdas de 6.490.000 dólares no primeiro semestre.
Segurança de contratos NFT: Revisão de eventos do primeiro semestre de 2022 e análise de perguntas frequentes
No primeiro semestre de 2022, o setor de NFT enfrentou uma série de eventos de segurança, resultando em enormes perdas econômicas. De acordo com a monitorização da plataforma de dados, ocorreram 10 principais eventos de segurança, com perdas de cerca de 64,9 milhões de dólares. Os métodos de ataque incluíram principalmente a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Vale ressaltar que os eventos de phishing no Discord estão quase a acontecer diariamente, levando a perdas frequentes para os usuários individuais.
Revisão de eventos de segurança típicos
Evento TreasureDAO
No dia 3 de março, a plataforma de negociação TreasureDAO foi atacada por hackers, resultando no roubo de mais de 100 NFTs. A vulnerabilidade originou-se de um erro lógico no contrato TreasureMarketplaceBuyer, que calculou o preço sem verificar o tipo de token, permitindo a compra de NFTs a custo zero. Este incidente expôs os riscos lógicos associados ao uso misto de tokens ERC-1155 e ERC-721.
APE Coin airdrop event
No dia 17 de março, hackers obtiveram mais de 60 mil APE Coin através de um empréstimo relâmpago. A vulnerabilidade do contrato do airdrop AirdropGrapesToken reside no fato de que a propriedade do NFT é determinada apenas pelo saldo instantâneo, permitindo que os atacantes tomem emprestado o NFT e consigam o airdrop instantaneamente.
Evento Revest Finance
No dia 27 de março, a Revest Finance foi atacada, resultando em uma perda de 120 mil dólares. A vulnerabilidade estava na reentrada do ERC-1155, onde o contrato não verificou adequadamente durante a mintagem de novos FNFTs, levando a uma vulnerabilidade de reentrada.
Evento de exploração da NBA
No dia 21 de abril, o projeto da NBA foi atacado. O contrato The_Association_Sales apresentou problemas de falsificação e reutilização de assinaturas durante a validação na lista branca, não registrando nem verificando as assinaturas já utilizadas.
Evento Akutar
No dia 23 de abril, uma falha no contrato AkuAuction do projeto Akutar resultou no bloqueio de 11.500 ETH (cerca de 34 milhões de dólares). Os principais problemas incluem a possibilidade de interrupção maliciosa da função de reembolso e a falta de consideração da situação de múlt ofertas dos usuários, o que levou a falhas permanentes no reembolso.
Evento XCarnival
No dia 24 de junho, o XCarnival foi atacado, resultando em uma perda de 3087 ETH (aproximadamente 3,8 milhões de dólares). O contrato XNFT não verificou a lista de permissões do endereço xToken ao fazer a aposta de NFTs e não verificou o estado do registro de colateral durante o empréstimo, permitindo que o atacante reutilizasse registros de colateral inválidos para empréstimos.
Questões Frequentes sobre Auditoria de Contratos NFT
Uso e reutilização de assinaturas:
Falha lógica:
Ataque de reentrada ERC721/ERC1155:
O alcance da autorização é demasiado amplo:
Manipulação de preços:
Dada a ocorrência dessas questões comuns e eventos de segurança que realmente aconteceram, é especialmente importante realizar uma auditoria de segurança profissional nos contratos de NFT. As equipes de projeto devem dar atenção à segurança dos contratos e adotar medidas de proteção abrangentes para reduzir riscos potenciais.