Análisis de seguridad de contratos NFT: Revisión de eventos de la primera mitad de 2022 y discusión de problemas comunes
En la primera mitad de 2022, la situación de seguridad en el campo de los NFT fue grave. Los datos muestran que ocurrieron 10 incidentes de seguridad importantes, causando pérdidas de aproximadamente 64.9 millones de dólares. Los métodos de ataque incluyen principalmente la explotación de vulnerabilidades en contratos, filtración de claves privadas y phishing. Es notable que los ataques de phishing en la plataforma Discord ocurren casi a diario, causando pérdidas frecuentes a los usuarios individuales.
Análisis de incidentes de seguridad típicos
evento TreasureDAO
El 3 de marzo, la plataforma de intercambio TreasureDAO fue atacada, y más de 100 NFTs fueron robados. La causa fue una vulnerabilidad lógica debido a la mezcla de tokens ERC-1155 y ERC-721. El contrato no diferenciaba entre tipos de tokens al procesar la compra de tokens, lo que permitió a los atacantes comprar NFTs sin costo utilizando tokens ERC-20.
evento de airdrop de APE Coin
El 17 de marzo, un hacker obtuvo más de 60,000 APE Coin a través de un préstamo relámpago. La vulnerabilidad se debe a que el contrato de airdrop utiliza una verificación de estado instantáneo para determinar la propiedad de los NFT, lo que puede ser manipulado por un préstamo relámpago.
Evento de Revest Finance
El 27 de marzo, Revest Finance fue atacado, perdiendo 120,000 dólares. Este es un típico ataque de reentrada ERC-1155, debido a que el contrato no manejó correctamente el orden de actualización del estado al acuñar un nuevo FNFT.
incidente de aprovecharse de la NBA
El 21 de abril, el proyecto de la NBA sufrió un ataque. El problema radica en el mecanismo de firma de verificación de la lista blanca, que presenta dos vulnerabilidades principales: el uso indebido y la reutilización de firmas.
Evento Akutar
El 23 de abril, el proyecto Akutar tuvo 11539 ETH (aproximadamente 34 millones de dólares) bloqueados debido a una vulnerabilidad en el contrato. Los principales problemas incluyen defectos en el diseño de la función de reembolso y no considerar la situación de que los usuarios realicen múltiples ofertas.
evento XCarnival
El 24 de junio, XCarnival sufrió un ataque, perdiendo 3087 ETH (aproximadamente 3.8 millones de dólares). La vulnerabilidad radica en que no se verificó la legitimidad de la dirección xToken al apostar NFTs y no se revisó el estado del registro de colaterales al realizar préstamos.
Problemas de seguridad comunes en contratos NFT
Suplantación y reutilización de firmas:
Falta la verificación de ejecución duplicada
La lógica de verificación de firmas no es rigurosa
Vulnerabilidad lógica:
Control inadecuado de la cantidad total de monedas
El orden de las transacciones durante el proceso de subasta depende de un ataque
Ataques de reentrada ERC721/ERC1155:
La función de notificación de transferencia puede provocar reentradas
Alcance de autorización demasiado amplio:
La autorización global innecesaria aumenta el riesgo de robo de NFT
Manipulación de precios:
El precio de NFT depende de factores externos y es susceptible a influencias de métodos como los préstamos relámpago.
Dada la complejidad de los contratos NFT y los riesgos potenciales, es crucial buscar empresas de seguridad profesionales para realizar una auditoría completa y prevenir posibles vulnerabilidades de seguridad.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
3
Compartir
Comentar
0/400
PumpStrategist
· hace19h
Caso típico de tontos que son tomados por tontos y arruinados. No se fijan en la concentración de fichas en posiciones altas.
Ver originalesResponder0
ConsensusDissenter
· hace20h
6490 millones de dólares fueron robados, es realmente absurdo.
Ver originalesResponder0
MemeKingNFT
· hace20h
Entre las altibajos del continente, los tontos están con el corazón roto, añorando la simplicidad del inicio del bull run.
Análisis de los riesgos de seguridad de los contratos NFT: lecciones detrás de la pérdida de 64.9 millones de dólares en la primera mitad de 2022
Análisis de seguridad de contratos NFT: Revisión de eventos de la primera mitad de 2022 y discusión de problemas comunes
En la primera mitad de 2022, la situación de seguridad en el campo de los NFT fue grave. Los datos muestran que ocurrieron 10 incidentes de seguridad importantes, causando pérdidas de aproximadamente 64.9 millones de dólares. Los métodos de ataque incluyen principalmente la explotación de vulnerabilidades en contratos, filtración de claves privadas y phishing. Es notable que los ataques de phishing en la plataforma Discord ocurren casi a diario, causando pérdidas frecuentes a los usuarios individuales.
Análisis de incidentes de seguridad típicos
evento TreasureDAO
El 3 de marzo, la plataforma de intercambio TreasureDAO fue atacada, y más de 100 NFTs fueron robados. La causa fue una vulnerabilidad lógica debido a la mezcla de tokens ERC-1155 y ERC-721. El contrato no diferenciaba entre tipos de tokens al procesar la compra de tokens, lo que permitió a los atacantes comprar NFTs sin costo utilizando tokens ERC-20.
evento de airdrop de APE Coin
El 17 de marzo, un hacker obtuvo más de 60,000 APE Coin a través de un préstamo relámpago. La vulnerabilidad se debe a que el contrato de airdrop utiliza una verificación de estado instantáneo para determinar la propiedad de los NFT, lo que puede ser manipulado por un préstamo relámpago.
Evento de Revest Finance
El 27 de marzo, Revest Finance fue atacado, perdiendo 120,000 dólares. Este es un típico ataque de reentrada ERC-1155, debido a que el contrato no manejó correctamente el orden de actualización del estado al acuñar un nuevo FNFT.
incidente de aprovecharse de la NBA
El 21 de abril, el proyecto de la NBA sufrió un ataque. El problema radica en el mecanismo de firma de verificación de la lista blanca, que presenta dos vulnerabilidades principales: el uso indebido y la reutilización de firmas.
Evento Akutar
El 23 de abril, el proyecto Akutar tuvo 11539 ETH (aproximadamente 34 millones de dólares) bloqueados debido a una vulnerabilidad en el contrato. Los principales problemas incluyen defectos en el diseño de la función de reembolso y no considerar la situación de que los usuarios realicen múltiples ofertas.
evento XCarnival
El 24 de junio, XCarnival sufrió un ataque, perdiendo 3087 ETH (aproximadamente 3.8 millones de dólares). La vulnerabilidad radica en que no se verificó la legitimidad de la dirección xToken al apostar NFTs y no se revisó el estado del registro de colaterales al realizar préstamos.
Problemas de seguridad comunes en contratos NFT
Suplantación y reutilización de firmas:
Vulnerabilidad lógica:
Ataques de reentrada ERC721/ERC1155:
Alcance de autorización demasiado amplio:
Manipulación de precios:
Dada la complejidad de los contratos NFT y los riesgos potenciales, es crucial buscar empresas de seguridad profesionales para realizar una auditoría completa y prevenir posibles vulnerabilidades de seguridad.