Auditoría de seguridad de contratos NFT: Preguntas frecuentes y análisis de casos típicos
En la primera mitad de 2022, los eventos de seguridad en el ámbito de los NFT se produjeron con frecuencia, causando enormes pérdidas económicas. Según el monitoreo de la plataforma de datos, ocurrieron un total de 10 eventos de seguridad principales, con pérdidas de aproximadamente 64.9 millones de dólares. Las principales formas de ataque incluyen la explotación de vulnerabilidades en contratos, la filtración de claves privadas y el phishing, entre otros. Es importante destacar que los ataques de phishing en la plataforma Discord ocurren casi a diario, lo que lleva a que los usuarios individuales sufran pérdidas con frecuencia.
Análisis de eventos de seguridad típicos de NFT en la primera mitad del año
evento TreasureDAO
El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada por hackers, lo que resultó en el robo de más de 100 NFT. La raíz del incidente fue una vulnerabilidad lógica en el contrato, que causó confusión lógica al mezclar tokens ERC-1155 y ERC-721. El contrato utilizó erróneamente el concepto de cantidad de tokens ERC-721 al calcular el precio de compra de los tokens, y no se realizó una separación lógica en la implementación de la transferencia de tokens.
APE Coin evento de airdrop
El 17 de marzo de 2022, los hackers utilizaron un préstamo relámpago para obtener más de 60,000 APE Coin en airdrop. La vulnerabilidad existía en el contrato de airdrop, que solo verificaba la propiedad de NFT a través de un chequeo de saldo instantáneo, y este estado podía ser manipulado por el préstamo relámpago.
Evento de Revest Finance
El 27 de marzo de 2022, Revest Finance sufrió un ataque de hackers, perdiendo aproximadamente 120,000 dólares. La razón fue una vulnerabilidad de reentrada en ERC-1155, ya que el contrato no verificó si ya existía al acuñar nuevos FNFT, y la variable de estado se incrementó después de la función mint, lo que permitió un posible ataque de reentrada.
evento del proyecto NBA NFT
El 21 de abril de 2022, un proyecto de NFT relacionado con la NBA fue atacado. El problema radica en la verificación de la firma en la validación de la lista blanca, existiendo dos vulnerabilidades de seguridad: la suplantación y la reutilización de firmas. El contrato no almacenó las firmas utilizadas y no verificó msg.sender al pasar los parámetros.
Evento Akutar
El 23 de abril de 2022, el proyecto Akutar bloqueó 11,500 ETH (, aproximadamente 34 millones de dólares ), debido a una vulnerabilidad en el contrato. Existen principalmente dos problemas lógicos: la función de reembolso puede ser interrumpida maliciosamente; no se tuvo en cuenta la situación de múltiples ofertas de los usuarios, lo que impide que el reembolso se ejecute nunca.
evento de XCarnival
El 24 de junio de 2022, el protocolo de préstamos NFT XCarnival fue atacado, con una pérdida de aproximadamente 3.8 millones de dólares. La vulnerabilidad radicaba en que no se verificaba la dirección xToken al pignorar NFT y no se comprobaba el estado del registro de garantías al realizar el préstamo, lo que permitía a los atacantes reutilizar garantías inválidas para obtener préstamos.
Preguntas frecuentes sobre la auditoría de contratos NFT
Suplantación y reutilización de firmas:
Falta la verificación de ejecución duplicada, como el nonce del usuario
La verificación de la firma no es estricta, como en el caso de que no se verifique la dirección cero.
Vulnerabilidad lógica:
Métodos de acuñación especiales que eluden el límite total
Existe el riesgo de ataque de dependencia del orden de transacción durante la subasta.
Ataque de reentrada ERC721/ERC1155:
La función de notificación de transferencia puede provocar reentrada
Alcance de autorización demasiado amplio:
Requiere autorización global en lugar de autorización de token individual
Manipulación de precios:
El precio de NFT depende del estado de los contratos externos, fácil de manipular por préstamos relámpago.
Dado que los eventos de seguridad de contratos NFT son frecuentes y las vulnerabilidades comunes encontradas durante la auditoría a menudo coinciden en gran medida con los ataques reales, los equipos de proyecto deben dar importancia a la seguridad de los contratos y buscar servicios de auditoría profesionales para reducir los riesgos de seguridad.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
11 me gusta
Recompensa
11
3
Compartir
Comentar
0/400
MevHunter
· hace11h
Seguidores de MEV que rastrean la procedencia de ETH, buscando diariamente Bots en el bosque oscuro.
Ver originalesResponder0
GlueGuy
· 07-30 14:33
¿No hay pocas cosas rotas en la cadena de bloques? Mira, está borroso.
Ver originalesResponder0
MEV_Whisperer
· 07-29 16:53
¡Dios mío! Otra tanda de tontos ha sido tomada a la gente por tonta.
Los incidentes de seguridad en contratos NFT son frecuentes: análisis de seis casos típicos y vulnerabilidades comunes.
Auditoría de seguridad de contratos NFT: Preguntas frecuentes y análisis de casos típicos
En la primera mitad de 2022, los eventos de seguridad en el ámbito de los NFT se produjeron con frecuencia, causando enormes pérdidas económicas. Según el monitoreo de la plataforma de datos, ocurrieron un total de 10 eventos de seguridad principales, con pérdidas de aproximadamente 64.9 millones de dólares. Las principales formas de ataque incluyen la explotación de vulnerabilidades en contratos, la filtración de claves privadas y el phishing, entre otros. Es importante destacar que los ataques de phishing en la plataforma Discord ocurren casi a diario, lo que lleva a que los usuarios individuales sufran pérdidas con frecuencia.
Análisis de eventos de seguridad típicos de NFT en la primera mitad del año
evento TreasureDAO
El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada por hackers, lo que resultó en el robo de más de 100 NFT. La raíz del incidente fue una vulnerabilidad lógica en el contrato, que causó confusión lógica al mezclar tokens ERC-1155 y ERC-721. El contrato utilizó erróneamente el concepto de cantidad de tokens ERC-721 al calcular el precio de compra de los tokens, y no se realizó una separación lógica en la implementación de la transferencia de tokens.
APE Coin evento de airdrop
El 17 de marzo de 2022, los hackers utilizaron un préstamo relámpago para obtener más de 60,000 APE Coin en airdrop. La vulnerabilidad existía en el contrato de airdrop, que solo verificaba la propiedad de NFT a través de un chequeo de saldo instantáneo, y este estado podía ser manipulado por el préstamo relámpago.
Evento de Revest Finance
El 27 de marzo de 2022, Revest Finance sufrió un ataque de hackers, perdiendo aproximadamente 120,000 dólares. La razón fue una vulnerabilidad de reentrada en ERC-1155, ya que el contrato no verificó si ya existía al acuñar nuevos FNFT, y la variable de estado se incrementó después de la función mint, lo que permitió un posible ataque de reentrada.
evento del proyecto NBA NFT
El 21 de abril de 2022, un proyecto de NFT relacionado con la NBA fue atacado. El problema radica en la verificación de la firma en la validación de la lista blanca, existiendo dos vulnerabilidades de seguridad: la suplantación y la reutilización de firmas. El contrato no almacenó las firmas utilizadas y no verificó msg.sender al pasar los parámetros.
Evento Akutar
El 23 de abril de 2022, el proyecto Akutar bloqueó 11,500 ETH (, aproximadamente 34 millones de dólares ), debido a una vulnerabilidad en el contrato. Existen principalmente dos problemas lógicos: la función de reembolso puede ser interrumpida maliciosamente; no se tuvo en cuenta la situación de múltiples ofertas de los usuarios, lo que impide que el reembolso se ejecute nunca.
evento de XCarnival
El 24 de junio de 2022, el protocolo de préstamos NFT XCarnival fue atacado, con una pérdida de aproximadamente 3.8 millones de dólares. La vulnerabilidad radicaba en que no se verificaba la dirección xToken al pignorar NFT y no se comprobaba el estado del registro de garantías al realizar el préstamo, lo que permitía a los atacantes reutilizar garantías inválidas para obtener préstamos.
Preguntas frecuentes sobre la auditoría de contratos NFT
Suplantación y reutilización de firmas:
Vulnerabilidad lógica:
Ataque de reentrada ERC721/ERC1155:
Alcance de autorización demasiado amplio:
Manipulación de precios:
Dado que los eventos de seguridad de contratos NFT son frecuentes y las vulnerabilidades comunes encontradas durante la auditoría a menudo coinciden en gran medida con los ataques reales, los equipos de proyecto deben dar importancia a la seguridad de los contratos y buscar servicios de auditoría profesionales para reducir los riesgos de seguridad.