Segurança de Contratos NFT: Revisão de Eventos do Primeiro Semestre de 2022 e Análise de Perguntas Comuns sobre Auditoria
No primeiro semestre de 2022, ocorreram frequentes incidentes de segurança na área de NFT, resultando em enormes perdas econômicas. De acordo com a monitorização da plataforma de dados, ocorreram 10 principais incidentes de segurança, com perdas de cerca de 6490 milhões de dólares. As principais formas de ataque incluíram a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Ao mesmo tempo, incidentes de phishing no Discord ocorreram quase diariamente, com usuários individuais a sofrerem frequentes perdas.
Revisão de eventos de segurança típicos
Evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi alvo de um ataque hacker, resultando no roubo de mais de 100 NFTs. A vulnerabilidade originou-se da lógica confusa da função buyItem do contrato TreasureMarketplaceBuyer, que não fez a verificação do tipo de token antes de calcular o preço, permitindo que NFTs fossem comprados com 0 tokens ERC-20. Isso reflete os problemas lógicos que podem surgir quando os tokens ERC-1155 e ERC-721 são utilizados em conjunto.
APE Coin airdrop event
Em 17 de março de 2022, hackers obtiveram mais de 60 mil APE Coin através de um empréstimo relâmpago. O contrato de airdrop do AirdropGrapesToken apenas determina a propriedade do NFT através do balanceOf(), e esse método é suscetível a manipulação por empréstimos relâmpago.
Evento Revest Finance
Em 27 de março de 2022, a Revest Finance foi atacada, resultando em uma perda de 120.000 dólares. A vulnerabilidade originou-se de um ataque de reentrada ERC-1155, onde o contrato não verificou se já existia ao criar um novo FNFT, e a variável de estado foi incrementada após _mint(), causando a vulnerabilidade de reentrada.
evento de aproveitar a NBA
No dia 21 de abril de 2022, o projeto NBA foi atacado. O contrato The_Association_Sales tinha problemas de falsificação e reutilização de assinaturas durante a verificação da lista branca, não armazenando assinaturas já utilizadas e não validando msg.sender durante a passagem de parâmetros.
Akutar事件
No dia 23 de abril de 2022, a vulnerabilidade do contrato AkuAuction do projeto Akutar resultou no bloqueio de 11.500 ETH. Existem dois problemas lógicos principais: a função de reembolso pode ser interrompida maliciosamente; não foi considerada a situação de múlt ofertas dos usuários, o que impede a execução do reembolso.
Evento XCarnival
No dia 24 de junho de 2022, o XCarnival sofreu um ataque, resultando na perda de 3087 ETH. O contrato XNFT não verificou o endereço xToken ao fazer staking de NFTs e não detectou o estado dos registros de colateral ao emprestar, permitindo que o atacante pudesse usar colaterais inválidos repetidamente para empréstimos.
Perguntas frequentes sobre auditoria de contratos NFT
Uso e reutilização de assinaturas: falta de verificação de execução repetida; verificação de assinaturas não é razoável.
Falha lógica: o administrador pode contornar o limite total de emissão de moeda; existe um ataque de dependência de ordem de transação durante o leilão.
Ataque de reentrada ERC721/ERC1155: pode causar reentrada ao usar a função de notificação de transferência.
Escopo de autorização muito amplo: exige autorização global em vez de autorização de token único, aumentando o risco de roubo de NFTs.
Manipulação de Preços: O preço do NFT depende da quantidade de tokens de um contrato, podendo ser manipulada por empréstimos relâmpago.
De um modo geral, os eventos de segurança relacionados a contratos NFT refletem a importância de auditorias de segurança especializadas. As equipes de projeto devem valorizar a segurança dos contratos e buscar auditorias profissionais para prevenir riscos potenciais.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
14 Curtidas
Recompensa
14
6
Repostar
Compartilhar
Comentário
0/400
CommunitySlacker
· 19h atrás
Os contratos inteligentes conseguem extrair tanta vantagem assim?
Ver originalResponder0
OnChainDetective
· 19h atrás
outro dia, outro hack... a análise de padrões sugere 90% devido a descuidos básicos em contratos smh
Ver originalResponder0
NotFinancialAdviser
· 19h atrás
Quase perdi as calças. Invista com cautela.
Ver originalResponder0
RebaseVictim
· 19h atrás
Blockchain Ser enganado por idiotas Grandes investidores Ter dinheiro ainda é preciso perseguir NFT
Ver originalResponder0
ImpermanentLossFan
· 19h atrás
sessenta milhões de dólares啊 又赚一次 糟糕
Ver originalResponder0
ApyWhisperer
· 20h atrás
Mais uma vez, vulnerabilidade em contratos inteligentes. Tsk tsk.
Vulnerabilidades em contratos NFT ocorrem com frequência, perdas de 64,9 milhões de dólares no primeiro semestre de 2022.
Segurança de Contratos NFT: Revisão de Eventos do Primeiro Semestre de 2022 e Análise de Perguntas Comuns sobre Auditoria
No primeiro semestre de 2022, ocorreram frequentes incidentes de segurança na área de NFT, resultando em enormes perdas econômicas. De acordo com a monitorização da plataforma de dados, ocorreram 10 principais incidentes de segurança, com perdas de cerca de 6490 milhões de dólares. As principais formas de ataque incluíram a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Ao mesmo tempo, incidentes de phishing no Discord ocorreram quase diariamente, com usuários individuais a sofrerem frequentes perdas.
Revisão de eventos de segurança típicos
Evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi alvo de um ataque hacker, resultando no roubo de mais de 100 NFTs. A vulnerabilidade originou-se da lógica confusa da função buyItem do contrato TreasureMarketplaceBuyer, que não fez a verificação do tipo de token antes de calcular o preço, permitindo que NFTs fossem comprados com 0 tokens ERC-20. Isso reflete os problemas lógicos que podem surgir quando os tokens ERC-1155 e ERC-721 são utilizados em conjunto.
APE Coin airdrop event
Em 17 de março de 2022, hackers obtiveram mais de 60 mil APE Coin através de um empréstimo relâmpago. O contrato de airdrop do AirdropGrapesToken apenas determina a propriedade do NFT através do balanceOf(), e esse método é suscetível a manipulação por empréstimos relâmpago.
Evento Revest Finance
Em 27 de março de 2022, a Revest Finance foi atacada, resultando em uma perda de 120.000 dólares. A vulnerabilidade originou-se de um ataque de reentrada ERC-1155, onde o contrato não verificou se já existia ao criar um novo FNFT, e a variável de estado foi incrementada após _mint(), causando a vulnerabilidade de reentrada.
evento de aproveitar a NBA
No dia 21 de abril de 2022, o projeto NBA foi atacado. O contrato The_Association_Sales tinha problemas de falsificação e reutilização de assinaturas durante a verificação da lista branca, não armazenando assinaturas já utilizadas e não validando msg.sender durante a passagem de parâmetros.
Akutar事件
No dia 23 de abril de 2022, a vulnerabilidade do contrato AkuAuction do projeto Akutar resultou no bloqueio de 11.500 ETH. Existem dois problemas lógicos principais: a função de reembolso pode ser interrompida maliciosamente; não foi considerada a situação de múlt ofertas dos usuários, o que impede a execução do reembolso.
Evento XCarnival
No dia 24 de junho de 2022, o XCarnival sofreu um ataque, resultando na perda de 3087 ETH. O contrato XNFT não verificou o endereço xToken ao fazer staking de NFTs e não detectou o estado dos registros de colateral ao emprestar, permitindo que o atacante pudesse usar colaterais inválidos repetidamente para empréstimos.
Perguntas frequentes sobre auditoria de contratos NFT
Uso e reutilização de assinaturas: falta de verificação de execução repetida; verificação de assinaturas não é razoável.
Falha lógica: o administrador pode contornar o limite total de emissão de moeda; existe um ataque de dependência de ordem de transação durante o leilão.
Ataque de reentrada ERC721/ERC1155: pode causar reentrada ao usar a função de notificação de transferência.
Escopo de autorização muito amplo: exige autorização global em vez de autorização de token único, aumentando o risco de roubo de NFTs.
Manipulação de Preços: O preço do NFT depende da quantidade de tokens de um contrato, podendo ser manipulada por empréstimos relâmpago.
De um modo geral, os eventos de segurança relacionados a contratos NFT refletem a importância de auditorias de segurança especializadas. As equipes de projeto devem valorizar a segurança dos contratos e buscar auditorias profissionais para prevenir riscos potenciais.