Segurança de contratos NFT: Análise de eventos do primeiro semestre de 2022 e discussão de problemas comuns
No primeiro semestre de 2022, ocorreram frequentes incidentes de segurança no campo dos NFT, resultando em enormes perdas. Este artigo irá realizar uma análise aprofundada da situação de segurança dos contratos de NFT durante este período, explorando casos típicos e problemas comuns.
Resumo dos incidentes de segurança de NFT no primeiro semestre
De acordo com os dados de monitoramento de segurança em blockchain, ocorreram 10 incidentes de segurança significativos relacionados a NFTs no primeiro semestre de 2022, resultando em perdas acumuladas de aproximadamente 64,9 milhões de dólares. As principais formas de ataque incluem exploração de vulnerabilidades em contratos, vazamento de chaves privadas e phishing. Vale ressaltar que os ataques de phishing na plataforma Discord são particularmente comuns, com usuários sofrendo perdas quase diariamente.
Análise de Incidentes de Segurança Típicos
Evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi alvo de um ataque hacker, resultando no roubo de mais de 100 NFTs.
Causa da vulnerabilidade: lógica do contrato confusa. A função buyItem do contrato TreasureMarketplaceBuyer não faz a verificação do tipo de token, permitindo a compra de NFTs quando o pagamento em token ERC-20 é 0. Isso se deve à mistura de tokens ERC-1155 e ERC-721, sem um tratamento especial para o ERC-721, que não possui conceito de quantidade.
Evento de airdrop do APE Coin
No dia 17 de março de 2022, hackers obtiveram mais de 60 mil APE Coin através de um empréstimo relâmpago.
Causa da vulnerabilidade: falha na lógica do contrato. O contrato de airdrop apenas verifica a propriedade do NFT pelo balanceOf(), e isso só pode obter um estado instantâneo, podendo ser manipulado por empréstimos relâmpago.
Evento Revest Finance
Em 27 de março de 2022, a Revest Finance foi atacada por hackers, resultando em uma perda de 120 mil dólares.
Causa da vulnerabilidade: ataque de reentrada ERC-1155. O contrato Revest apresenta uma vulnerabilidade de reentrada ao adicionar ativos colaterais FNFT, originada por chamadas externas na função de mint.
Evento de exploração da NBA
No dia 21 de abril de 2022, o projeto NBA foi atacado por hackers.
Causa da vulnerabilidade: falha na verificação da assinatura. O contrato The_Association_Sales apresenta problemas de uso indevido e reutilização de assinaturas durante a verificação da lista branca.
Evento Akutar
No dia 23 de abril de 2022, a vulnerabilidade do contrato AkuAuction do projeto Akutar resultou no bloqueio de 11.000 ETH.
Causa da vulnerabilidade: Defeito na lógica de reembolso. A função de reembolso apresenta o risco de ser interrompida maliciosamente e não considera a situação de múlt ofertas pelo usuário, resultando na impossibilidade de execução do reembolso.
Evento XCarnival
No dia 24 de junho de 2022, a XCarnival sofreu um ataque que resultou em uma perda de 3,8 milhões de dólares.
Causa da falha: verificação inadequada dos registros de garantia. O contrato XNFT não realizou verificações suficientes ao fazer a garantia e o empréstimo, resultando na reutilização de registros de garantia inválidos.
Problemas de segurança comuns em contratos NFT
Problemas de verificação de assinatura: falta de verificação de execução repetida, verificação de assinatura não rigorosa.
Falhas lógicas: restrições inadequadas na emissão de moeda, existem falhas no processo de licitação.
Ataque de reentrada ERC721/ERC1155: A funcionalidade de notificação de transferência pode levar a reentradas.
Autorizações excessivas: requer autorização global, mas na verdade só precisa de autorização para um único token.
Manipulação de preços: os preços dependem de fatores que podem ser manipulados por empréstimos relâmpago.
Em suma, os problemas de segurança dos contratos NFT são complexos e variados, tornando a auditoria profissional especialmente importante. As equipes de projeto devem dar importância à segurança dos contratos, avaliar completamente os riscos potenciais e garantir a segurança dos ativos dos usuários.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
22 Curtidas
Recompensa
22
7
Compartilhar
Comentário
0/400
BackrowObserver
· 07-05 13:17
Esta idiota foi realmente severamente feita de parva.
Ver originalResponder0
TokenVelocityTrauma
· 07-05 09:51
fazer as pessoas de parvas uma vez mais
Ver originalResponder0
SmartContractRebel
· 07-02 15:48
Este contrato não é auditado? Acorda!
Ver originalResponder0
metaverse_hermit
· 07-02 15:41
Quanto foi roubado? Olhando com fome.
Ver originalResponder0
MetaverseLandlord
· 07-02 15:41
Muito bom. Idiotas, bem-vindos a fazer as pessoas de parvas~
Análise de segurança de contratos NFT: eventos típicos e discussão de vulnerabilidades comuns no primeiro semestre de 2022
Segurança de contratos NFT: Análise de eventos do primeiro semestre de 2022 e discussão de problemas comuns
No primeiro semestre de 2022, ocorreram frequentes incidentes de segurança no campo dos NFT, resultando em enormes perdas. Este artigo irá realizar uma análise aprofundada da situação de segurança dos contratos de NFT durante este período, explorando casos típicos e problemas comuns.
Resumo dos incidentes de segurança de NFT no primeiro semestre
De acordo com os dados de monitoramento de segurança em blockchain, ocorreram 10 incidentes de segurança significativos relacionados a NFTs no primeiro semestre de 2022, resultando em perdas acumuladas de aproximadamente 64,9 milhões de dólares. As principais formas de ataque incluem exploração de vulnerabilidades em contratos, vazamento de chaves privadas e phishing. Vale ressaltar que os ataques de phishing na plataforma Discord são particularmente comuns, com usuários sofrendo perdas quase diariamente.
Análise de Incidentes de Segurança Típicos
Evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi alvo de um ataque hacker, resultando no roubo de mais de 100 NFTs.
Causa da vulnerabilidade: lógica do contrato confusa. A função buyItem do contrato TreasureMarketplaceBuyer não faz a verificação do tipo de token, permitindo a compra de NFTs quando o pagamento em token ERC-20 é 0. Isso se deve à mistura de tokens ERC-1155 e ERC-721, sem um tratamento especial para o ERC-721, que não possui conceito de quantidade.
Evento de airdrop do APE Coin
No dia 17 de março de 2022, hackers obtiveram mais de 60 mil APE Coin através de um empréstimo relâmpago.
Causa da vulnerabilidade: falha na lógica do contrato. O contrato de airdrop apenas verifica a propriedade do NFT pelo balanceOf(), e isso só pode obter um estado instantâneo, podendo ser manipulado por empréstimos relâmpago.
Evento Revest Finance
Em 27 de março de 2022, a Revest Finance foi atacada por hackers, resultando em uma perda de 120 mil dólares.
Causa da vulnerabilidade: ataque de reentrada ERC-1155. O contrato Revest apresenta uma vulnerabilidade de reentrada ao adicionar ativos colaterais FNFT, originada por chamadas externas na função de mint.
Evento de exploração da NBA
No dia 21 de abril de 2022, o projeto NBA foi atacado por hackers.
Causa da vulnerabilidade: falha na verificação da assinatura. O contrato The_Association_Sales apresenta problemas de uso indevido e reutilização de assinaturas durante a verificação da lista branca.
Evento Akutar
No dia 23 de abril de 2022, a vulnerabilidade do contrato AkuAuction do projeto Akutar resultou no bloqueio de 11.000 ETH.
Causa da vulnerabilidade: Defeito na lógica de reembolso. A função de reembolso apresenta o risco de ser interrompida maliciosamente e não considera a situação de múlt ofertas pelo usuário, resultando na impossibilidade de execução do reembolso.
Evento XCarnival
No dia 24 de junho de 2022, a XCarnival sofreu um ataque que resultou em uma perda de 3,8 milhões de dólares.
Causa da falha: verificação inadequada dos registros de garantia. O contrato XNFT não realizou verificações suficientes ao fazer a garantia e o empréstimo, resultando na reutilização de registros de garantia inválidos.
Problemas de segurança comuns em contratos NFT
Problemas de verificação de assinatura: falta de verificação de execução repetida, verificação de assinatura não rigorosa.
Falhas lógicas: restrições inadequadas na emissão de moeda, existem falhas no processo de licitação.
Ataque de reentrada ERC721/ERC1155: A funcionalidade de notificação de transferência pode levar a reentradas.
Autorizações excessivas: requer autorização global, mas na verdade só precisa de autorização para um único token.
Manipulação de preços: os preços dependem de fatores que podem ser manipulados por empréstimos relâmpago.
Em suma, os problemas de segurança dos contratos NFT são complexos e variados, tornando a auditoria profissional especialmente importante. As equipes de projeto devem dar importância à segurança dos contratos, avaliar completamente os riscos potenciais e garantir a segurança dos ativos dos usuários.