Sécurité des contrats NFT : Revue des événements du premier semestre 2022 et analyse des questions courantes d'audit
Au cours du premier semestre 2022, des incidents de sécurité dans le domaine des NFT se sont multipliés, entraînant d'énormes pertes économiques. Selon les données de la plateforme de surveillance, un total de 10 incidents de sécurité majeurs ont eu lieu, avec des pertes d'environ 6,49 millions de dollars. Les méthodes d'attaque incluent principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing, entre autres. Parallèlement, des incidents de phishing sur Discord se produisent presque quotidiennement, et les utilisateurs individuels subissent fréquemment des pertes.
Revue des incidents de sécurité typiques
événement TreasureDAO
Le 3 mars 2022, la plateforme de trading TreasureDAO a été attaquée par des hackers, et plus de 100 NFT ont été volés. La faille provenait de la logique confuse de la fonction buyItem du contrat TreasureMarketplaceBuyer, qui ne vérifiait pas le type de token avant de calculer le prix, permettant ainsi d'acheter des NFT avec 0 ERC-20 token. Cela reflète les problèmes logiques qui peuvent survenir lors de l'utilisation mixte des tokens ERC-1155 et ERC-721.
APE Coin airdrop event
Le 17 mars 2022, des hackers ont obtenu plus de 60 000 APE Coin grâce à un prêt éclair. Le contrat d'airdrop de AirdropGrapesToken détermine la propriété des NFT uniquement par le biais de balanceOf(), et cette méthode est facilement manipulable par des prêts éclair.
Événement Revest Finance
Le 27 mars 2022, Revest Finance a été attaqué, entraînant une perte de 120 000 $. La vulnérabilité provenait d'une attaque de réentrance ERC-1155, le contrat ne vérifiant pas si le FNFT existait déjà lors de la création d'un nouveau FNFT, et la variable d'état s'incrémentant après _mint(), ce qui a provoqué la vulnérabilité de réentrance.
événement NBA de profit opportun
Le 21 avril 2022, le projet NBA a été attaqué. Le contrat The_Association_Sales avait des problèmes de contrefaçon et de réutilisation de signature lors de la vérification de la liste blanche, sans stockage des signatures utilisées et sans validation de msg.sender lors du passage des paramètres.
événement Akutar
Le 23 avril 2022, une vulnérabilité dans le contrat AkuAuction du projet Akutar a entraîné le blocage de 11 500 ETH. Deux problèmes logiques principaux existent : la fonction de remboursement peut être interrompue de manière malveillante ; la situation où l'utilisateur enchérissait plusieurs fois n'a pas été prise en compte, ce qui a empêché l'exécution du remboursement.
Événement XCarnival
Le 24 juin 2022, XCarnival a été attaqué et a perdu 3087 ETH. Le contrat XNFT n'a pas vérifié l'adresse xToken lors du staking des NFT, et n'a pas vérifié l'état des enregistrements de garantie lors des prêts, permettant ainsi aux attaquants d'utiliser à plusieurs reprises des garanties invalides pour emprunter.
Questions fréquentes sur l'audit des contrats NFT
Usurpation et réutilisation de la signature : manque de vérification de l'exécution répétée ; vérification de la signature non raisonnable.
Vulnérabilité logique : l'administrateur peut contourner la limite de quantité pour frapper des pièces ; il existe une attaque par dépendance de l'ordre des transactions lors des enchères.
Attaque de réentrée ERC721/ERC1155 : peut entraîner une réentrée lors de l'utilisation de la fonction de notification de transfert.
Champ d'autorisation trop large : demande d'une autorisation globale plutôt que d'une autorisation pour un seul jeton, augmentant le risque de vol de NFT.
Manipulation des prix : Le prix des NFT dépend de la quantité de jetons d'un certain contrat, et peut être manipulé par des prêts éclair.
Dans l'ensemble, les incidents de sécurité des contrats NFT fréquents reflètent l'importance d'un audit de sécurité professionnel. Les équipes de projet devraient accorder de l'importance à la sécurité des contrats et rechercher un audit professionnel pour prévenir les risques potentiels.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
6
Reposter
Partager
Commentaire
0/400
CommunitySlacker
· Il y a 12h
Il est incroyable de pouvoir tirer autant de profit des failles de contrat.
Voir l'originalRépondre0
OnChainDetective
· Il y a 12h
un autre jour, un autre piratage... l'analyse des tendances suggère 90 % en raison de négligences basiques dans les contrats smh
Les failles des contrats NFT se multiplient, avec des pertes de 64,9 millions de dollars au premier semestre 2022.
Sécurité des contrats NFT : Revue des événements du premier semestre 2022 et analyse des questions courantes d'audit
Au cours du premier semestre 2022, des incidents de sécurité dans le domaine des NFT se sont multipliés, entraînant d'énormes pertes économiques. Selon les données de la plateforme de surveillance, un total de 10 incidents de sécurité majeurs ont eu lieu, avec des pertes d'environ 6,49 millions de dollars. Les méthodes d'attaque incluent principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing, entre autres. Parallèlement, des incidents de phishing sur Discord se produisent presque quotidiennement, et les utilisateurs individuels subissent fréquemment des pertes.
Revue des incidents de sécurité typiques
événement TreasureDAO
Le 3 mars 2022, la plateforme de trading TreasureDAO a été attaquée par des hackers, et plus de 100 NFT ont été volés. La faille provenait de la logique confuse de la fonction buyItem du contrat TreasureMarketplaceBuyer, qui ne vérifiait pas le type de token avant de calculer le prix, permettant ainsi d'acheter des NFT avec 0 ERC-20 token. Cela reflète les problèmes logiques qui peuvent survenir lors de l'utilisation mixte des tokens ERC-1155 et ERC-721.
APE Coin airdrop event
Le 17 mars 2022, des hackers ont obtenu plus de 60 000 APE Coin grâce à un prêt éclair. Le contrat d'airdrop de AirdropGrapesToken détermine la propriété des NFT uniquement par le biais de balanceOf(), et cette méthode est facilement manipulable par des prêts éclair.
Événement Revest Finance
Le 27 mars 2022, Revest Finance a été attaqué, entraînant une perte de 120 000 $. La vulnérabilité provenait d'une attaque de réentrance ERC-1155, le contrat ne vérifiant pas si le FNFT existait déjà lors de la création d'un nouveau FNFT, et la variable d'état s'incrémentant après _mint(), ce qui a provoqué la vulnérabilité de réentrance.
événement NBA de profit opportun
Le 21 avril 2022, le projet NBA a été attaqué. Le contrat The_Association_Sales avait des problèmes de contrefaçon et de réutilisation de signature lors de la vérification de la liste blanche, sans stockage des signatures utilisées et sans validation de msg.sender lors du passage des paramètres.
événement Akutar
Le 23 avril 2022, une vulnérabilité dans le contrat AkuAuction du projet Akutar a entraîné le blocage de 11 500 ETH. Deux problèmes logiques principaux existent : la fonction de remboursement peut être interrompue de manière malveillante ; la situation où l'utilisateur enchérissait plusieurs fois n'a pas été prise en compte, ce qui a empêché l'exécution du remboursement.
Événement XCarnival
Le 24 juin 2022, XCarnival a été attaqué et a perdu 3087 ETH. Le contrat XNFT n'a pas vérifié l'adresse xToken lors du staking des NFT, et n'a pas vérifié l'état des enregistrements de garantie lors des prêts, permettant ainsi aux attaquants d'utiliser à plusieurs reprises des garanties invalides pour emprunter.
Questions fréquentes sur l'audit des contrats NFT
Usurpation et réutilisation de la signature : manque de vérification de l'exécution répétée ; vérification de la signature non raisonnable.
Vulnérabilité logique : l'administrateur peut contourner la limite de quantité pour frapper des pièces ; il existe une attaque par dépendance de l'ordre des transactions lors des enchères.
Attaque de réentrée ERC721/ERC1155 : peut entraîner une réentrée lors de l'utilisation de la fonction de notification de transfert.
Champ d'autorisation trop large : demande d'une autorisation globale plutôt que d'une autorisation pour un seul jeton, augmentant le risque de vol de NFT.
Manipulation des prix : Le prix des NFT dépend de la quantité de jetons d'un certain contrat, et peut être manipulé par des prêts éclair.
Dans l'ensemble, les incidents de sécurité des contrats NFT fréquents reflètent l'importance d'un audit de sécurité professionnel. Les équipes de projet devraient accorder de l'importance à la sécurité des contrats et rechercher un audit professionnel pour prévenir les risques potentiels.