Análisis de problemas de seguridad en contratos NFT y puntos clave de auditoría
En la primera mitad de 2022, ocurrieron varios eventos de seguridad importantes en el campo de NFT, causando pérdidas de aproximadamente 64.9 millones de dólares. Estos eventos involucraron principalmente la explotación de vulnerabilidades en contratos, la filtración de claves privadas y ataques de phishing, entre otros. Es notable que los eventos de phishing en la plataforma Discord ocurren casi todos los días, lo que lleva a que muchos usuarios individuales sufran pérdidas.
Análisis de eventos de seguridad típicos
TreasureDAO evento
El 3 de marzo, la plataforma de intercambio TreasureDAO fue atacada, y más de 100 NFT fueron robados. La vulnerabilidad se originó en un error lógico en el contrato TreasureMarketplaceBuyer, que permitía a los atacantes comprar NFT sin pagar. Este problema fue causado principalmente por la confusión lógica resultante de la mezcla de tokens ERC-1155 y ERC-721.
evento de airdrop de APE Coin
El 17 de marzo, un atacante aprovechó un préstamo relámpago para obtener más de 60,000 APE Coin en airdrop. La vulnerabilidad existía en el contrato del airdrop, que solo verificaba la propiedad instantánea de los NFT por parte del usuario, lo que podía ser manipulado a través del préstamo relámpago.
Revest Finance evento
El 27 de marzo, Revest Finance fue atacado, perdiendo aproximadamente 120,000 dólares. Este es un ataque típico de reentrada ERC-1155, originado por un defecto lógico en el contrato al acuñar nuevos FNFT.
proyecto de ataque de la NBA
El 21 de abril, el proyecto de la NBA sufrió un ataque. El problema se encuentra en el mecanismo de verificación de firmas de la validación de la lista blanca, donde existe una vulnerabilidad de suplantación y reutilización de firmas.
Akutar evento
El 23 de abril, un fallo en el contrato inteligente del proyecto Akutar llevó al bloqueo de aproximadamente 34 millones de dólares en activos. Esto se debió a un defecto lógico en la función de reembolso del contrato, que no consideraba la posibilidad de que los usuarios pujaran por múltiples NFT.
evento de XCarnival
El 24 de junio, XCarnival fue atacado, perdiendo aproximadamente 3.8 millones de dólares. La vulnerabilidad se encuentra en las funciones de staking y préstamo del contrato XNFT, que carecen de las comprobaciones de seguridad necesarias.
Preguntas frecuentes sobre la auditoría de contratos NFT
Suplantación y reutilización de firmas:
Falta la verificación de ejecución repetida
La verificación de la firma no es razonable
Vulnerabilidad lógica:
Control inadecuado de la cantidad total de monedas
El orden de las transacciones durante el proceso de subasta depende de ataques
Ataques de reentrada de ERC721 y ERC1155:
La función de notificación de transferencia puede causar reentrada
El alcance de la autorización es demasiado amplio:
La autorización global innecesaria puede llevar al robo de NFT
Manipulación de precios:
El precio de NFT depende de factores externos y es fácil de manipular
La existencia de estos problemas de seguridad resalta la importancia de realizar una auditoría profesional y exhaustiva de los contratos NFT. Los equipos de proyecto deben dar importancia a la seguridad de los contratos, mediante auditorías de seguridad profesionales para evitar riesgos potenciales y proteger la seguridad de los activos de los usuarios.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
3
Compartir
Comentar
0/400
FloorPriceWatcher
· 08-01 15:54
¿Cuánto más tiempo tendremos que caer en el mismo hoyo?
Ver originalesResponder0
gas_fee_therapy
· 08-01 15:36
¿Te han vuelto a estafar? Las vulnerabilidades de los contratos son realmente diabólicas.
Ver originalesResponder0
AlgoAlchemist
· 08-01 15:34
Tsk, otro DAO que ha sido expuesto, pero no importa.
Los incidentes de seguridad en contratos de NFT son frecuentes. Seis puntos de auditoría para prevenir riesgos.
Análisis de problemas de seguridad en contratos NFT y puntos clave de auditoría
En la primera mitad de 2022, ocurrieron varios eventos de seguridad importantes en el campo de NFT, causando pérdidas de aproximadamente 64.9 millones de dólares. Estos eventos involucraron principalmente la explotación de vulnerabilidades en contratos, la filtración de claves privadas y ataques de phishing, entre otros. Es notable que los eventos de phishing en la plataforma Discord ocurren casi todos los días, lo que lleva a que muchos usuarios individuales sufran pérdidas.
Análisis de eventos de seguridad típicos
TreasureDAO evento
El 3 de marzo, la plataforma de intercambio TreasureDAO fue atacada, y más de 100 NFT fueron robados. La vulnerabilidad se originó en un error lógico en el contrato TreasureMarketplaceBuyer, que permitía a los atacantes comprar NFT sin pagar. Este problema fue causado principalmente por la confusión lógica resultante de la mezcla de tokens ERC-1155 y ERC-721.
evento de airdrop de APE Coin
El 17 de marzo, un atacante aprovechó un préstamo relámpago para obtener más de 60,000 APE Coin en airdrop. La vulnerabilidad existía en el contrato del airdrop, que solo verificaba la propiedad instantánea de los NFT por parte del usuario, lo que podía ser manipulado a través del préstamo relámpago.
Revest Finance evento
El 27 de marzo, Revest Finance fue atacado, perdiendo aproximadamente 120,000 dólares. Este es un ataque típico de reentrada ERC-1155, originado por un defecto lógico en el contrato al acuñar nuevos FNFT.
proyecto de ataque de la NBA
El 21 de abril, el proyecto de la NBA sufrió un ataque. El problema se encuentra en el mecanismo de verificación de firmas de la validación de la lista blanca, donde existe una vulnerabilidad de suplantación y reutilización de firmas.
Akutar evento
El 23 de abril, un fallo en el contrato inteligente del proyecto Akutar llevó al bloqueo de aproximadamente 34 millones de dólares en activos. Esto se debió a un defecto lógico en la función de reembolso del contrato, que no consideraba la posibilidad de que los usuarios pujaran por múltiples NFT.
evento de XCarnival
El 24 de junio, XCarnival fue atacado, perdiendo aproximadamente 3.8 millones de dólares. La vulnerabilidad se encuentra en las funciones de staking y préstamo del contrato XNFT, que carecen de las comprobaciones de seguridad necesarias.
Preguntas frecuentes sobre la auditoría de contratos NFT
Suplantación y reutilización de firmas:
Vulnerabilidad lógica:
Ataques de reentrada de ERC721 y ERC1155:
El alcance de la autorización es demasiado amplio:
Manipulación de precios:
La existencia de estos problemas de seguridad resalta la importancia de realizar una auditoría profesional y exhaustiva de los contratos NFT. Los equipos de proyecto deben dar importancia a la seguridad de los contratos, mediante auditorías de seguridad profesionales para evitar riesgos potenciales y proteger la seguridad de los activos de los usuarios.