Analyse de la sécurité des contrats NFT : Retour sur les événements du premier semestre 2022 et discussion des problèmes courants
Au cours du premier semestre 2022, la situation de sécurité dans le domaine des NFT était grave. Les données montrent qu'il y a eu 10 incidents de sécurité majeurs, entraînant des pertes d'environ 64,9 millions de dollars. Les méthodes d'attaque comprenaient principalement l'exploitation de vulnérabilités dans les contrats, la fuite de clés privées et le phishing, entre autres. Il convient de noter que les attaques de phishing sur la plateforme Discord se produisent presque tous les jours, entraînant des pertes fréquentes pour les utilisateurs individuels.
Analyse des événements de sécurité typiques
événement TreasureDAO
Le 3 mars, la plateforme d'échange TreasureDAO a été attaquée, entraînant le vol de plus de 100 NFT. La raison est une vulnérabilité logique due à l'utilisation mixte des jetons ERC-1155 et ERC-721. Le contrat n'a pas distingué les types de jetons lors du traitement des achats de jetons, permettant aux attaquants d'acheter des NFT sans coût en utilisant des jetons ERC-20.
événement d'airdrop APE Coin
Le 17 mars, des hackers ont obtenu plus de 60 000 APE Coin via un prêt éclair. La vulnérabilité provenait du fait que le contrat d'airdrop utilisait une évaluation instantanée de la propriété des NFT, ce qui pouvait être manipulé par un prêt éclair.
Événement Revest Finance
Le 27 mars, Revest Finance a été attaqué, entraînant une perte de 120 000 $. Il s'agit d'une attaque de réentrance typique ERC-1155, en raison d'un traitement incorrect de l'ordre des mises à jour d'état lors de la création de nouveaux FNFT.
événement NBA de profit opportun
Le 21 avril, le projet NBA a été attaqué. Le problème réside dans le mécanisme de signature de validation de la liste blanche, qui présente deux principales vulnérabilités : l'usurpation de signature et la réutilisation.
événement Akutar
Le 23 avril, le projet Akutar a vu 11539 ETH (environ 34 millions de dollars) verrouillés en raison d'une vulnérabilité dans le contrat. Les principaux problèmes incluent un défaut de conception de la fonction de remboursement et l'absence de prise en compte des enchères multiples des utilisateurs.
événement XCarnival
Le 24 juin, XCarnival a été attaqué, avec une perte de 3087 ETH (environ 3,8 millions de dollars). La faille résidait dans le fait qu'aucune vérification de la légitimité de l'adresse xToken n'était effectuée lors du staking des NFT, et qu'aucun contrôle de l'état des enregistrements de garantie n'était réalisé lors des emprunts.
Problèmes de sécurité courants des contrats NFT
Usurpation et réutilisation de signature :
Validation d'exécution répétée manquante
La logique de vérification de la signature n'est pas rigoureuse
Failles logiques :
Contrôle inadéquat de l'offre totale de pièces
La séquence des transactions pendant le processus d'enchères dépend des attaques
Attaque de réentrance ERC721/ERC1155 :
La fonction de notification de transfert peut entraîner une réentrée
Champ d'autorisation trop large :
Les autorisations globales inutiles augmentent le risque de vol de NFT
Manipulation des prix :
Le prix des NFT dépend de facteurs externes et est facilement affecté par des moyens tels que les prêts éclair.
Étant donné la complexité des contrats NFT et les risques potentiels, il est crucial de faire appel à des sociétés de sécurité professionnelles pour réaliser un audit complet afin de prévenir d'éventuelles vulnérabilités de sécurité.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
10 J'aime
Récompense
10
3
Partager
Commentaire
0/400
PumpStrategist
· 07-31 16:38
Cas typique de pigeons pris pour des idiots et rekt. Ils ne regardent même pas la concentration des jetons à des niveaux élevés.
Voir l'originalRépondre0
ConsensusDissenter
· 07-31 16:17
64,9 millions de dollars ont été volés, c'est vraiment absurde.
Voir l'originalRépondre0
MemeKingNFT
· 07-31 16:09
Entre les hauts et les bas du continent, les pigeons ont le cœur brisé, se remémorant la simplicité du début du bull run.
Analyse des risques de sécurité des contrats NFT : leçons tirées des pertes de 64,9 millions de dollars au cours du premier semestre 2022
Analyse de la sécurité des contrats NFT : Retour sur les événements du premier semestre 2022 et discussion des problèmes courants
Au cours du premier semestre 2022, la situation de sécurité dans le domaine des NFT était grave. Les données montrent qu'il y a eu 10 incidents de sécurité majeurs, entraînant des pertes d'environ 64,9 millions de dollars. Les méthodes d'attaque comprenaient principalement l'exploitation de vulnérabilités dans les contrats, la fuite de clés privées et le phishing, entre autres. Il convient de noter que les attaques de phishing sur la plateforme Discord se produisent presque tous les jours, entraînant des pertes fréquentes pour les utilisateurs individuels.
Analyse des événements de sécurité typiques
événement TreasureDAO
Le 3 mars, la plateforme d'échange TreasureDAO a été attaquée, entraînant le vol de plus de 100 NFT. La raison est une vulnérabilité logique due à l'utilisation mixte des jetons ERC-1155 et ERC-721. Le contrat n'a pas distingué les types de jetons lors du traitement des achats de jetons, permettant aux attaquants d'acheter des NFT sans coût en utilisant des jetons ERC-20.
événement d'airdrop APE Coin
Le 17 mars, des hackers ont obtenu plus de 60 000 APE Coin via un prêt éclair. La vulnérabilité provenait du fait que le contrat d'airdrop utilisait une évaluation instantanée de la propriété des NFT, ce qui pouvait être manipulé par un prêt éclair.
Événement Revest Finance
Le 27 mars, Revest Finance a été attaqué, entraînant une perte de 120 000 $. Il s'agit d'une attaque de réentrance typique ERC-1155, en raison d'un traitement incorrect de l'ordre des mises à jour d'état lors de la création de nouveaux FNFT.
événement NBA de profit opportun
Le 21 avril, le projet NBA a été attaqué. Le problème réside dans le mécanisme de signature de validation de la liste blanche, qui présente deux principales vulnérabilités : l'usurpation de signature et la réutilisation.
événement Akutar
Le 23 avril, le projet Akutar a vu 11539 ETH (environ 34 millions de dollars) verrouillés en raison d'une vulnérabilité dans le contrat. Les principaux problèmes incluent un défaut de conception de la fonction de remboursement et l'absence de prise en compte des enchères multiples des utilisateurs.
événement XCarnival
Le 24 juin, XCarnival a été attaqué, avec une perte de 3087 ETH (environ 3,8 millions de dollars). La faille résidait dans le fait qu'aucune vérification de la légitimité de l'adresse xToken n'était effectuée lors du staking des NFT, et qu'aucun contrôle de l'état des enregistrements de garantie n'était réalisé lors des emprunts.
Problèmes de sécurité courants des contrats NFT
Usurpation et réutilisation de signature :
Failles logiques :
Attaque de réentrance ERC721/ERC1155 :
Champ d'autorisation trop large :
Manipulation des prix :
Étant donné la complexité des contrats NFT et les risques potentiels, il est crucial de faire appel à des sociétés de sécurité professionnelles pour réaliser un audit complet afin de prévenir d'éventuelles vulnérabilités de sécurité.