Sécurité des contrats NFT : analyse des événements du premier semestre 2022 et discussion des problèmes courants
Au cours du premier semestre 2022, les incidents de sécurité dans le domaine des NFT se sont multipliés, entraînant d'énormes pertes. Cet article analysera en profondeur la situation de sécurité des contrats NFT pendant cette période, en explorant des cas typiques et des problèmes courants.
Aperçu des événements de sécurité des NFT au cours du premier semestre
Selon les données de surveillance de la sécurité de la blockchain, il y a eu 10 incidents majeurs de sécurité liés aux NFT au cours du premier semestre 2022, avec des pertes cumulées d'environ 64,9 millions de dollars. Les principales méthodes d'attaque incluent l'exploitation des vulnérabilités des contrats, la fuite de clés privées et le phishing. Il convient de noter que les attaques de phishing sur la plateforme Discord sont particulièrement répandues, avec presque chaque jour des utilisateurs subissant des pertes.
Analyse des incidents de sécurité typiques
événement TreasureDAO
Le 3 mars 2022, la plateforme d'échange TreasureDAO a été piratée, plus de 100 NFT ont été volés.
Raison de la vulnérabilité : logique de contrat confuse. La fonction buyItem du contrat TreasureMarketplaceBuyer ne vérifie pas le type de jeton, ce qui permet d'acheter des NFT avec un paiement de 0 pour les jetons ERC-20. Cela est dû à un mélange de jetons ERC-1155 et ERC-721, sans traitement spécial pour les ERC-721 qui n'ont pas de concept de quantité.
APE Coin airdrop événement
Le 17 mars 2022, des hackers ont obtenu plus de 60 000 jetons APE Coin via un prêt éclair.
Cause de la vulnérabilité : défaut de logique dans le contrat. Le contrat d'airdrop ne détermine la propriété des NFT par l'utilisateur qu'en utilisant balanceOf(), ce qui ne peut obtenir qu'un état instantané et peut être manipulé par des prêts flash.
événement Revest Finance
Le 27 mars 2022, Revest Finance a été attaqué par des hackers, entraînant une perte de 120 000 $.
Cause de la vulnérabilité : attaque de réentrance ERC-1155. Le contrat Revest présente une vulnérabilité de réentrance lors de l'ajout d'actifs de garantie FNFT, résultant d'un appel externe dans la fonction de mint.
événement NBA de profiter des faiblesses
Le 21 avril 2022, le projet NBA a été attaqué par des hackers.
Cause de la vulnérabilité : défaut de vérification de la signature. Le contrat The_Association_Sales présente des problèmes de contrefaçon et de réutilisation de signature lors de la vérification de la liste blanche.
événement Akutar
Le 23 avril 2022, une vulnérabilité du contrat AkuAuction du projet Akutar a entraîné le blocage de 11 000 ETH.
Raison de la faille : défaut de la logique de remboursement. La fonction de remboursement présente un risque d'interruption malveillante et ne prend pas en compte la situation des utilisateurs effectuant plusieurs offres, ce qui empêche l'exécution du remboursement.
événement XCarnival
Le 24 juin 2022, XCarnival a subi une attaque entraînant une perte de 3,8 millions de dollars.
Cause de la vulnérabilité : vérification insuffisante des enregistrements de garantie. Le contrat XNFT n'effectue pas de vérifications adéquates lors du staking et de l'emprunt, ce qui entraîne la réutilisation de manière répétée d'enregistrements de garantie invalides.
Problèmes de sécurité courants des contrats NFT
Problème de vérification de signature : absence de vérification d'exécution répétée, vérification de signature pas stricte.
Failles logiques : restrictions de frappe inappropriées, vulnérabilités dans le processus d'enchères.
Attaque de réentrance ERC721/ERC1155 : La fonction de notification de transfert peut entraîner une réentrance.
Surcharge d'autorisation : demande d'autorisation globale alors qu'une seule autorisation de jeton est réellement nécessaire.
Manipulation des prix : les prix dépendent de facteurs pouvant être manipulés par des prêts flash.
En résumé, les problèmes de sécurité des contrats NFT sont complexes et variés, et un audit professionnel est particulièrement important. Les équipes de projet devraient accorder une attention particulière à la sécurité des contrats, évaluer de manière exhaustive les risques potentiels et garantir la sécurité des actifs des utilisateurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
22 J'aime
Récompense
22
9
Reposter
Partager
Commentaire
0/400
BackrowObserver
· 07-05 13:17
Ces pigeons sont vraiment bien pris pour des idiots.
Voir l'originalRépondre0
TokenVelocityTrauma
· 07-05 09:51
Encore une fois, on prend les gens pour des idiots.
Voir l'originalRépondre0
SmartContractRebel
· 07-02 15:48
Ce contrat n'est pas audité ? Réveillez-vous.
Voir l'originalRépondre0
metaverse_hermit
· 07-02 15:41
Combien a été volé ? J'ai faim.
Voir l'originalRépondre0
MetaverseLandlord
· 07-02 15:41
Vraiment délicieux. Les pigeons sont les bienvenus pour prendre les gens pour des idiots~
Voir l'originalRépondre0
MEVictim
· 07-02 15:38
Contrat Rekt, ne vous laissez pas avoir !
Voir l'originalRépondre0
RektButSmiling
· 07-02 15:27
Encore une fois, on nous prend pour des idiots avec des pigeons~
Analyse de la sécurité des contrats NFT : événements typiques et discussion sur les vulnérabilités courantes du premier semestre 2022
Sécurité des contrats NFT : analyse des événements du premier semestre 2022 et discussion des problèmes courants
Au cours du premier semestre 2022, les incidents de sécurité dans le domaine des NFT se sont multipliés, entraînant d'énormes pertes. Cet article analysera en profondeur la situation de sécurité des contrats NFT pendant cette période, en explorant des cas typiques et des problèmes courants.
Aperçu des événements de sécurité des NFT au cours du premier semestre
Selon les données de surveillance de la sécurité de la blockchain, il y a eu 10 incidents majeurs de sécurité liés aux NFT au cours du premier semestre 2022, avec des pertes cumulées d'environ 64,9 millions de dollars. Les principales méthodes d'attaque incluent l'exploitation des vulnérabilités des contrats, la fuite de clés privées et le phishing. Il convient de noter que les attaques de phishing sur la plateforme Discord sont particulièrement répandues, avec presque chaque jour des utilisateurs subissant des pertes.
Analyse des incidents de sécurité typiques
événement TreasureDAO
Le 3 mars 2022, la plateforme d'échange TreasureDAO a été piratée, plus de 100 NFT ont été volés.
Raison de la vulnérabilité : logique de contrat confuse. La fonction buyItem du contrat TreasureMarketplaceBuyer ne vérifie pas le type de jeton, ce qui permet d'acheter des NFT avec un paiement de 0 pour les jetons ERC-20. Cela est dû à un mélange de jetons ERC-1155 et ERC-721, sans traitement spécial pour les ERC-721 qui n'ont pas de concept de quantité.
APE Coin airdrop événement
Le 17 mars 2022, des hackers ont obtenu plus de 60 000 jetons APE Coin via un prêt éclair.
Cause de la vulnérabilité : défaut de logique dans le contrat. Le contrat d'airdrop ne détermine la propriété des NFT par l'utilisateur qu'en utilisant balanceOf(), ce qui ne peut obtenir qu'un état instantané et peut être manipulé par des prêts flash.
événement Revest Finance
Le 27 mars 2022, Revest Finance a été attaqué par des hackers, entraînant une perte de 120 000 $.
Cause de la vulnérabilité : attaque de réentrance ERC-1155. Le contrat Revest présente une vulnérabilité de réentrance lors de l'ajout d'actifs de garantie FNFT, résultant d'un appel externe dans la fonction de mint.
événement NBA de profiter des faiblesses
Le 21 avril 2022, le projet NBA a été attaqué par des hackers.
Cause de la vulnérabilité : défaut de vérification de la signature. Le contrat The_Association_Sales présente des problèmes de contrefaçon et de réutilisation de signature lors de la vérification de la liste blanche.
événement Akutar
Le 23 avril 2022, une vulnérabilité du contrat AkuAuction du projet Akutar a entraîné le blocage de 11 000 ETH.
Raison de la faille : défaut de la logique de remboursement. La fonction de remboursement présente un risque d'interruption malveillante et ne prend pas en compte la situation des utilisateurs effectuant plusieurs offres, ce qui empêche l'exécution du remboursement.
événement XCarnival
Le 24 juin 2022, XCarnival a subi une attaque entraînant une perte de 3,8 millions de dollars.
Cause de la vulnérabilité : vérification insuffisante des enregistrements de garantie. Le contrat XNFT n'effectue pas de vérifications adéquates lors du staking et de l'emprunt, ce qui entraîne la réutilisation de manière répétée d'enregistrements de garantie invalides.
Problèmes de sécurité courants des contrats NFT
Problème de vérification de signature : absence de vérification d'exécution répétée, vérification de signature pas stricte.
Failles logiques : restrictions de frappe inappropriées, vulnérabilités dans le processus d'enchères.
Attaque de réentrance ERC721/ERC1155 : La fonction de notification de transfert peut entraîner une réentrance.
Surcharge d'autorisation : demande d'autorisation globale alors qu'une seule autorisation de jeton est réellement nécessaire.
Manipulation des prix : les prix dépendent de facteurs pouvant être manipulés par des prêts flash.
En résumé, les problèmes de sécurité des contrats NFT sont complexes et variés, et un audit professionnel est particulièrement important. Les équipes de projet devraient accorder une attention particulière à la sécurité des contrats, évaluer de manière exhaustive les risques potentiels et garantir la sécurité des actifs des utilisateurs.