Auditoria de Segurança de Contratos NFT: Perguntas Frequentes e Análise de Casos Típicos
No primeiro semestre de 2022, ocorreram frequentes incidentes de segurança no campo dos NFT, resultando em enormes perdas econômicas. De acordo com o monitoramento da plataforma de dados, ocorreram 10 principais incidentes de segurança, com perdas de cerca de 6,49 milhões de dólares. Os métodos de ataque incluíram principalmente a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Vale ressaltar que os ataques de phishing na plataforma Discord ocorrem quase diariamente, levando as usuários individuais a sofrer perdas frequentes.
Análise de eventos de segurança típicos de NFTs no primeiro semestre
TreasureDAO evento
No dia 3 de março de 2022, a plataforma de troca TreasureDAO foi alvo de um ataque hacker, resultando no roubo de mais de 100 NFTs. A raiz do incidente foi uma vulnerabilidade lógica no contrato, que levou a uma confusão lógica devido à mistura de tokens ERC-1155 e ERC-721. O contrato utilizou incorretamente o conceito de quantidade de tokens ERC-721 ao calcular o preço de compra dos tokens, e não houve separação lógica na implementação da transferência de tokens.
Evento de airdrop APE Coin
No dia 17 de março de 2022, hackers utilizaram um empréstimo relâmpago para obter mais de 60 mil APE Coin em airdrop. A vulnerabilidade estava no contrato de airdrop, que apenas verificava a propriedade do NFT através do saldo instantâneo, e esse estado poderia ser manipulado por empréstimos relâmpagos.
Evento Revest Finance
Em 27 de março de 2022, a Revest Finance foi atacada por hackers, resultando em uma perda de cerca de 120 mil dólares. A razão foi uma vulnerabilidade de reentrada ERC-1155, onde o contrato não verificou se já existia ao criar um novo FNFT, e a variável de estado foi incrementada após a função mint, possibilitando um ataque de reentrada.
projeto de evento NBA NFT
No dia 21 de abril de 2022, um projeto NFT relacionado à NBA foi atacado. O problema estava na verificação da assinatura na validação da lista branca, existindo duas vulnerabilidades de segurança: uso indevido e reutilização da assinatura. O contrato não armazenou as assinaturas já utilizadas e, ao passar os parâmetros, não foi verificado o msg.sender.
Evento Akutar
Em 23 de abril de 2022, o projeto Akutar teve 11.5 mil ETH(, aproximadamente 34 milhões de dólares), bloqueados devido a uma falha no contrato. Existem dois problemas lógicos principais: a função de reembolso pode ser interrompida maliciosamente; não foi considerada a situação em que os usuários fazem lances múltiplos, resultando na impossibilidade de execução do reembolso.
Evento XCarnival
No dia 24 de junho de 2022, o protocolo de empréstimo de NFT XCarnival foi atacado, resultando em perdas de cerca de 3,8 milhões de dólares. A vulnerabilidade estava na falta de verificação do endereço xToken ao garantir o NFT e na ausência de verificação do estado do registro de garantia durante o empréstimo, permitindo que os atacantes reutilizassem garantias inválidas para realizar empréstimos.
Perguntas Frequentes sobre Auditoria de Contratos NFT
Uso e reutilização de assinaturas:
Falta a verificação de execução duplicada, como o nonce do usuário
Verificação de assinatura não é rigorosa, como não verificar a situação do endereço zero
Falha lógica:
Método de cunhagem especial que contorna o limite total
Existe o risco de ataque de dependência de ordem de transação durante o leilão.
Ataque de reentrada ERC721/ERC1155:
A funcionalidade de notificação de transferência pode causar reentrada
O alcance da autorização é excessivo:
Exigir autorização global em vez de autorização de token individual
Manipulação de preços:
O preço do NFT depende do estado de contratos externos e pode ser manipulado por empréstimos relâmpago.
Dada a frequência dos eventos de segurança dos contratos NFT e a alta correspondência entre as vulnerabilidades comuns encontradas nas auditorias e os ataques reais, os desenvolvedores de projetos devem dar atenção à segurança dos contratos e buscar serviços de auditoria profissional para reduzir os riscos de segurança.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
11 Curtidas
Recompensa
11
3
Compartilhar
Comentário
0/400
MevHunter
· 11h atrás
Acompanhando o rastreador MEV do ETH, buscando diariamente Bots na floresta obscura
Ver originalResponder0
GlueGuy
· 07-30 14:33
Blockchain não tem poucas coisas quebradas, estou atordoado.
Ver originalResponder0
MEV_Whisperer
· 07-29 16:53
Meu Deus, mais uma onda de idiotas a fazer as pessoas de parvas.
Eventos de segurança de contratos NFT ocorrem frequentemente: Seis casos típicos e análise de vulnerabilidades comuns.
Auditoria de Segurança de Contratos NFT: Perguntas Frequentes e Análise de Casos Típicos
No primeiro semestre de 2022, ocorreram frequentes incidentes de segurança no campo dos NFT, resultando em enormes perdas econômicas. De acordo com o monitoramento da plataforma de dados, ocorreram 10 principais incidentes de segurança, com perdas de cerca de 6,49 milhões de dólares. Os métodos de ataque incluíram principalmente a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Vale ressaltar que os ataques de phishing na plataforma Discord ocorrem quase diariamente, levando as usuários individuais a sofrer perdas frequentes.
Análise de eventos de segurança típicos de NFTs no primeiro semestre
TreasureDAO evento
No dia 3 de março de 2022, a plataforma de troca TreasureDAO foi alvo de um ataque hacker, resultando no roubo de mais de 100 NFTs. A raiz do incidente foi uma vulnerabilidade lógica no contrato, que levou a uma confusão lógica devido à mistura de tokens ERC-1155 e ERC-721. O contrato utilizou incorretamente o conceito de quantidade de tokens ERC-721 ao calcular o preço de compra dos tokens, e não houve separação lógica na implementação da transferência de tokens.
Evento de airdrop APE Coin
No dia 17 de março de 2022, hackers utilizaram um empréstimo relâmpago para obter mais de 60 mil APE Coin em airdrop. A vulnerabilidade estava no contrato de airdrop, que apenas verificava a propriedade do NFT através do saldo instantâneo, e esse estado poderia ser manipulado por empréstimos relâmpagos.
Evento Revest Finance
Em 27 de março de 2022, a Revest Finance foi atacada por hackers, resultando em uma perda de cerca de 120 mil dólares. A razão foi uma vulnerabilidade de reentrada ERC-1155, onde o contrato não verificou se já existia ao criar um novo FNFT, e a variável de estado foi incrementada após a função mint, possibilitando um ataque de reentrada.
projeto de evento NBA NFT
No dia 21 de abril de 2022, um projeto NFT relacionado à NBA foi atacado. O problema estava na verificação da assinatura na validação da lista branca, existindo duas vulnerabilidades de segurança: uso indevido e reutilização da assinatura. O contrato não armazenou as assinaturas já utilizadas e, ao passar os parâmetros, não foi verificado o msg.sender.
Evento Akutar
Em 23 de abril de 2022, o projeto Akutar teve 11.5 mil ETH(, aproximadamente 34 milhões de dólares), bloqueados devido a uma falha no contrato. Existem dois problemas lógicos principais: a função de reembolso pode ser interrompida maliciosamente; não foi considerada a situação em que os usuários fazem lances múltiplos, resultando na impossibilidade de execução do reembolso.
Evento XCarnival
No dia 24 de junho de 2022, o protocolo de empréstimo de NFT XCarnival foi atacado, resultando em perdas de cerca de 3,8 milhões de dólares. A vulnerabilidade estava na falta de verificação do endereço xToken ao garantir o NFT e na ausência de verificação do estado do registro de garantia durante o empréstimo, permitindo que os atacantes reutilizassem garantias inválidas para realizar empréstimos.
Perguntas Frequentes sobre Auditoria de Contratos NFT
Uso e reutilização de assinaturas:
Falha lógica:
Ataque de reentrada ERC721/ERC1155:
O alcance da autorização é excessivo:
Manipulação de preços:
Dada a frequência dos eventos de segurança dos contratos NFT e a alta correspondência entre as vulnerabilidades comuns encontradas nas auditorias e os ataques reais, os desenvolvedores de projetos devem dar atenção à segurança dos contratos e buscar serviços de auditoria profissional para reduzir os riscos de segurança.