Audit de sécurité des contrats NFT : Questions fréquentes et analyse de cas typiques
Au cours du premier semestre 2022, les incidents de sécurité dans le domaine des NFT se sont multipliés, entraînant d'énormes pertes économiques. Selon les données surveillées par la plateforme, dix incidents de sécurité majeurs se sont produits, entraînant des pertes d'environ 64,9 millions de dollars. Les méthodes d'attaque comprennent principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing. Il convient de noter que les attaques de phishing sur la plateforme Discord se produisent presque quotidiennement, ce qui entraîne des pertes fréquentes pour les utilisateurs individuels.
Analyse des événements de sécurité typiques des NFT au premier semestre
événement TreasureDAO
Le 3 mars 2022, la plateforme d'échange TreasureDAO a été victime d'une attaque de hacker, entraînant le vol de plus de 100 NFT. La racine de l'incident réside dans une faille logique dans le contrat, où la confusion entre les tokens ERC-1155 et ERC-721 a provoqué un désordre logique. Le contrat a utilisé à tort le concept de quantité de tokens ERC-721 lors du calcul du prix d'achat des tokens, et il n'y a pas eu de séparation logique dans la mise en œuvre du transfert des tokens.
Événement d'airdrop APE Coin
Le 17 mars 2022, des hackers ont utilisé un prêt éclair pour obtenir plus de 60 000 APE Coin en airdrop. La vulnérabilité se trouvait dans le contrat d'airdrop, qui ne vérifiait la propriété des NFT que par une vérification de solde instantané, et cet état pouvait être manipulé par un prêt éclair.
Événement Revest Finance
Le 27 mars 2022, Revest Finance a été victime d'une attaque par des hackers, entraînant une perte d'environ 120 000 $. La cause en est une vulnérabilité de réentrance ERC-1155, où le contrat ne vérifie pas si un FNFT existe déjà lors de la création d'un nouvel FNFT, et où la variable d'état s'incrémente après la fonction mint, ce qui rend possible une attaque par réentrance.
projet événement NBA NFT
Le 21 avril 2022, un projet NFT lié à la NBA a été attaqué. Le problème provenait de l'étape de vérification de la signature de validation de la liste blanche, présentant deux vulnérabilités de sécurité : la contrefaçon et la réutilisation de signatures. Le contrat n'a pas stocké les signatures déjà utilisées, et il n'y avait pas de vérification de msg.sender lors de la transmission des paramètres.
événement Akutar
Le 23 avril 2022, le projet Akutar a été verrouillé en raison d'une vulnérabilité dans le contrat, entraînant la perte de 11 500 ETH(, soit environ 3,4 millions de dollars). Il y avait principalement deux problèmes logiques : la fonction de remboursement pouvait être interrompue de manière malveillante ; la situation où les utilisateurs enchérissaient plusieurs fois n'a pas été prise en compte, rendant le remboursement impossible à exécuter.
événement XCarnival
Le 24 juin 2022, le protocole de prêt NFT XCarnival a été attaqué, entraînant une perte d'environ 3,8 millions de dollars. La vulnérabilité résidait dans le fait que l'adresse xToken n'était pas vérifiée lors du staking des NFT, et que l'état des enregistrements de garantie n'était pas vérifié lors des prêts, permettant ainsi aux attaquants de réutiliser des garanties invalides pour emprunter.
Questions fréquentes sur l'audit de contrats NFT
Détournement et réutilisation de signature :
Manque de validation de l'exécution répétée, comme le nonce de l'utilisateur
Vérification de la signature non stricte, par exemple, si l'adresse zéro n'est pas vérifiée
Vulnérabilité logique:
Méthode de frappe spéciale contournant la limite de quantité
Il existe un risque d'attaque par dépendance à l'ordre des transactions lors des enchères.
Attaque par réentrance ERC721/ERC1155 :
La fonction de notification de transfert peut provoquer une réentrance
Portée de l'autorisation trop grande :
Exiger une autorisation globale plutôt qu'une autorisation de jeton unique
Manipulation des prix :
Le prix des NFT dépend de l'état des contrats externes, et peut facilement être manipulé par des prêts éclair.
Étant donné la fréquence des incidents de sécurité liés aux contrats NFT et le fait que les vulnérabilités courantes découvertes lors des audits correspondent souvent aux attaques réelles, les équipes de projet devraient accorder une importance à la sécurité des contrats et rechercher des services d'audit professionnels afin de réduire les risques de sécurité.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
12 J'aime
Récompense
12
3
Partager
Commentaire
0/400
MevHunter
· 07-31 06:40
Suivi MEV de la traçabilité d'ETH, recherche quotidienne de Bots dans la forêt sombre.
Voir l'originalRépondre0
GlueGuy
· 07-30 14:33
Blockchain破事还少吗 看麻了
Voir l'originalRépondre0
MEV_Whisperer
· 07-29 16:53
Mon dieu, encore une vague de pigeons pris pour des idiots.
Des incidents de sécurité liés aux contrats NFT se multiplient : analyse de six cas typiques et des vulnérabilités courantes.
Audit de sécurité des contrats NFT : Questions fréquentes et analyse de cas typiques
Au cours du premier semestre 2022, les incidents de sécurité dans le domaine des NFT se sont multipliés, entraînant d'énormes pertes économiques. Selon les données surveillées par la plateforme, dix incidents de sécurité majeurs se sont produits, entraînant des pertes d'environ 64,9 millions de dollars. Les méthodes d'attaque comprennent principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing. Il convient de noter que les attaques de phishing sur la plateforme Discord se produisent presque quotidiennement, ce qui entraîne des pertes fréquentes pour les utilisateurs individuels.
Analyse des événements de sécurité typiques des NFT au premier semestre
événement TreasureDAO
Le 3 mars 2022, la plateforme d'échange TreasureDAO a été victime d'une attaque de hacker, entraînant le vol de plus de 100 NFT. La racine de l'incident réside dans une faille logique dans le contrat, où la confusion entre les tokens ERC-1155 et ERC-721 a provoqué un désordre logique. Le contrat a utilisé à tort le concept de quantité de tokens ERC-721 lors du calcul du prix d'achat des tokens, et il n'y a pas eu de séparation logique dans la mise en œuvre du transfert des tokens.
Événement d'airdrop APE Coin
Le 17 mars 2022, des hackers ont utilisé un prêt éclair pour obtenir plus de 60 000 APE Coin en airdrop. La vulnérabilité se trouvait dans le contrat d'airdrop, qui ne vérifiait la propriété des NFT que par une vérification de solde instantané, et cet état pouvait être manipulé par un prêt éclair.
Événement Revest Finance
Le 27 mars 2022, Revest Finance a été victime d'une attaque par des hackers, entraînant une perte d'environ 120 000 $. La cause en est une vulnérabilité de réentrance ERC-1155, où le contrat ne vérifie pas si un FNFT existe déjà lors de la création d'un nouvel FNFT, et où la variable d'état s'incrémente après la fonction mint, ce qui rend possible une attaque par réentrance.
projet événement NBA NFT
Le 21 avril 2022, un projet NFT lié à la NBA a été attaqué. Le problème provenait de l'étape de vérification de la signature de validation de la liste blanche, présentant deux vulnérabilités de sécurité : la contrefaçon et la réutilisation de signatures. Le contrat n'a pas stocké les signatures déjà utilisées, et il n'y avait pas de vérification de msg.sender lors de la transmission des paramètres.
événement Akutar
Le 23 avril 2022, le projet Akutar a été verrouillé en raison d'une vulnérabilité dans le contrat, entraînant la perte de 11 500 ETH(, soit environ 3,4 millions de dollars). Il y avait principalement deux problèmes logiques : la fonction de remboursement pouvait être interrompue de manière malveillante ; la situation où les utilisateurs enchérissaient plusieurs fois n'a pas été prise en compte, rendant le remboursement impossible à exécuter.
événement XCarnival
Le 24 juin 2022, le protocole de prêt NFT XCarnival a été attaqué, entraînant une perte d'environ 3,8 millions de dollars. La vulnérabilité résidait dans le fait que l'adresse xToken n'était pas vérifiée lors du staking des NFT, et que l'état des enregistrements de garantie n'était pas vérifié lors des prêts, permettant ainsi aux attaquants de réutiliser des garanties invalides pour emprunter.
Questions fréquentes sur l'audit de contrats NFT
Détournement et réutilisation de signature :
Vulnérabilité logique:
Attaque par réentrance ERC721/ERC1155 :
Portée de l'autorisation trop grande :
Manipulation des prix :
Étant donné la fréquence des incidents de sécurité liés aux contrats NFT et le fait que les vulnérabilités courantes découvertes lors des audits correspondent souvent aux attaques réelles, les équipes de projet devraient accorder une importance à la sécurité des contrats et rechercher des services d'audit professionnels afin de réduire les risques de sécurité.