Análisis de problemas de seguridad de contratos NFT y recomendaciones de auditoría
En la primera mitad de 2022, ocurrieron varios eventos de seguridad significativos en el ámbito de los NFT, causando enormes pérdidas económicas. Según las plataformas de datos, solo se registraron 10 eventos de seguridad importantes, con pérdidas de aproximadamente 6,490,000 dólares. Los métodos de ataque incluyen principalmente la explotación de vulnerabilidades en los contratos, la filtración de claves privadas y el phishing. Al mismo tiempo, los ataques de phishing en la plataforma Discord también son muy comunes, y casi todos los días hay usuarios que sufren pérdidas por hacer clic en enlaces maliciosos.
Análisis de eventos de seguridad típicos
evento TreasureDAO
El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada por hackers, robando más de 100 NFT. La razón fue que existía una vulnerabilidad lógica en el contrato, y la mezcla de tokens ERC-1155 y ERC-721 provocó un error de cálculo, lo que permitió a los atacantes comprar NFT sin costo alguno.
evento de airdrop de APE Coin
El 17 de marzo de 2022, un hacker utilizó un préstamo relámpago para obtener más de 60,000 APE Coin en una airdrop. La vulnerabilidad radica en que el contrato del airdrop solo verifica la propiedad temporal del NFT por parte del llamador, lo que puede ser manipulado a través de un préstamo relámpago.
Evento de Revest Finance
El 27 de marzo de 2022, Revest Finance sufrió un ataque que resultó en una pérdida de 120,000 dólares. La razón fue la existencia de una vulnerabilidad de reentrada ERC-1155 en el contrato, lo que permitió al atacante llamar repetidamente a las funciones relacionadas durante el proceso de acuñación.
incidente de ataque del proyecto NBA
El 21 de abril de 2022, el proyecto de la NBA fue atacado por hackers. Había problemas de suplantación y reutilización de firmas al verificar la lista blanca de contratos, y no se registraron ni verificaron las firmas ya utilizadas.
evento Akutar
El 23 de abril de 2022, el proyecto Akutar tuvo 34 millones de dólares en activos bloqueados debido a una vulnerabilidad en la lógica del contrato. La función de reembolso estaba mal diseñada y no se tuvo en cuenta la situación de las ofertas múltiples de los usuarios.
evento XCarnival
El 24 de junio de 2022, XCarnival sufrió un ataque con pérdidas de aproximadamente 3.8 millones de dólares. La causa fue la falta de las necesarias verificaciones de seguridad en el proceso de staking y préstamos.
Problemas comunes de auditoría en contratos NFT
Suplantación y reutilización de firmas: falta de verificación de ejecución repetida, la comprobación de firmas no es razonable.
Vulnerabilidad lógica: permisos de administrador demasiado amplios, existen fallos en el proceso de subasta.
Ataque de reentrada ERC721/ERC1155: La función de notificación de transferencia puede provocar una reentrada.
Alcance de autorización demasiado amplio: los usuarios pueden autorizar en exceso lo que lleva al robo de NFTs.
Manipulación de precios: El precio de los NFT depende de factores externos y es fácil de manipular.
Conclusión
Los incidentes de seguridad en los contratos NFT son frecuentes, y la principal razón es la falta de auditorías de seguridad integrales. Los equipos de proyecto deben dar importancia a la seguridad de los contratos y buscar empresas de seguridad profesionales para realizar auditorías, a fin de prevenir riesgos potenciales y proteger la seguridad de los activos de los usuarios.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
5
Compartir
Comentar
0/400
blocksnark
· 08-02 03:33
Hay demasiadas vulnerabilidades, realmente estoy impresionado con esta operación estúpida.
Ver originalesResponder0
HashBrownies
· 07-31 08:59
¿Te ha ido muy mal? Claramente has aprendido la lección, ¿por qué insistir en repetir el mismo error?
Ver originalesResponder0
SerLiquidated
· 07-31 04:17
Hablando en serio, ¿quién se atreve a tocar los NFT ahora?
Ver originalesResponder0
LiquidationWatcher
· 07-31 04:17
*flashbacks de PTSD a treasuredao* omg no otro desastre de contrato inteligente esperando a suceder... mantente a salvo anon, verifica esas auditorías o te rekt fr fr
Ver originalesResponder0
BearMarketSage
· 07-31 04:17
Otra vez tontos son tomados por tonta, es realmente gracioso.
Las vulnerabilidades de seguridad en los contratos NFT son frecuentes, la auditoría se convierte en una línea de defensa clave.
Análisis de problemas de seguridad de contratos NFT y recomendaciones de auditoría
En la primera mitad de 2022, ocurrieron varios eventos de seguridad significativos en el ámbito de los NFT, causando enormes pérdidas económicas. Según las plataformas de datos, solo se registraron 10 eventos de seguridad importantes, con pérdidas de aproximadamente 6,490,000 dólares. Los métodos de ataque incluyen principalmente la explotación de vulnerabilidades en los contratos, la filtración de claves privadas y el phishing. Al mismo tiempo, los ataques de phishing en la plataforma Discord también son muy comunes, y casi todos los días hay usuarios que sufren pérdidas por hacer clic en enlaces maliciosos.
Análisis de eventos de seguridad típicos
evento TreasureDAO
El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada por hackers, robando más de 100 NFT. La razón fue que existía una vulnerabilidad lógica en el contrato, y la mezcla de tokens ERC-1155 y ERC-721 provocó un error de cálculo, lo que permitió a los atacantes comprar NFT sin costo alguno.
evento de airdrop de APE Coin
El 17 de marzo de 2022, un hacker utilizó un préstamo relámpago para obtener más de 60,000 APE Coin en una airdrop. La vulnerabilidad radica en que el contrato del airdrop solo verifica la propiedad temporal del NFT por parte del llamador, lo que puede ser manipulado a través de un préstamo relámpago.
Evento de Revest Finance
El 27 de marzo de 2022, Revest Finance sufrió un ataque que resultó en una pérdida de 120,000 dólares. La razón fue la existencia de una vulnerabilidad de reentrada ERC-1155 en el contrato, lo que permitió al atacante llamar repetidamente a las funciones relacionadas durante el proceso de acuñación.
incidente de ataque del proyecto NBA
El 21 de abril de 2022, el proyecto de la NBA fue atacado por hackers. Había problemas de suplantación y reutilización de firmas al verificar la lista blanca de contratos, y no se registraron ni verificaron las firmas ya utilizadas.
evento Akutar
El 23 de abril de 2022, el proyecto Akutar tuvo 34 millones de dólares en activos bloqueados debido a una vulnerabilidad en la lógica del contrato. La función de reembolso estaba mal diseñada y no se tuvo en cuenta la situación de las ofertas múltiples de los usuarios.
evento XCarnival
El 24 de junio de 2022, XCarnival sufrió un ataque con pérdidas de aproximadamente 3.8 millones de dólares. La causa fue la falta de las necesarias verificaciones de seguridad en el proceso de staking y préstamos.
Problemas comunes de auditoría en contratos NFT
Suplantación y reutilización de firmas: falta de verificación de ejecución repetida, la comprobación de firmas no es razonable.
Vulnerabilidad lógica: permisos de administrador demasiado amplios, existen fallos en el proceso de subasta.
Ataque de reentrada ERC721/ERC1155: La función de notificación de transferencia puede provocar una reentrada.
Alcance de autorización demasiado amplio: los usuarios pueden autorizar en exceso lo que lleva al robo de NFTs.
Manipulación de precios: El precio de los NFT depende de factores externos y es fácil de manipular.
Conclusión
Los incidentes de seguridad en los contratos NFT son frecuentes, y la principal razón es la falta de auditorías de seguridad integrales. Los equipos de proyecto deben dar importancia a la seguridad de los contratos y buscar empresas de seguridad profesionales para realizar auditorías, a fin de prevenir riesgos potenciales y proteger la seguridad de los activos de los usuarios.