Analyse des problèmes de sécurité des contrats NFT et recommandations d'audit
Au cours du premier semestre 2022, plusieurs événements de sécurité majeurs ont eu lieu dans le domaine des NFT, entraînant d'énormes pertes économiques. Selon les données surveillées par la plateforme, il y a eu 10 incidents de sécurité majeurs, avec des pertes d'environ 64,9 millions de dollars. Les méthodes d'attaque comprennent principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing. Parallèlement, les attaques de phishing sur la plateforme Discord sont également très répandues, presque tous les jours, des utilisateurs subissent des pertes en cliquant sur des liens malveillants.
Analyse des événements de sécurité typiques
événement TreasureDAO
Le 3 mars 2022, la plateforme d'échange TreasureDAO a été attaquée par des hackers, plus de 100 NFT ont été volés. La raison en est qu'il y avait une vulnérabilité logique dans le contrat, l'utilisation mixte des tokens ERC-1155 et ERC-721 a entraîné une erreur de calcul, permettant aux attaquants d'acheter des NFT à coût zéro.
Événement de distribution de APE Coin
Le 17 mars 2022, des hackers ont obtenu plus de 60 000 APE Coin en utilisant un prêt flash. La vulnérabilité résidait dans le fait que le contrat d'airdrop ne vérifiait que la propriété instantanée de l'appelant sur le NFT, ce qui pouvait être manipulé par un prêt flash.
événement Revest Finance
Le 27 mars 2022, Revest Finance a subi une attaque entraînant une perte de 120 000 $. La raison en est la présence d'une vulnérabilité de réentrance ERC-1155 dans le contrat, permettant à l'attaquant d'appeler plusieurs fois les fonctions concernées pendant le processus de minting.
événement d'attaque du projet NBA
Le 21 avril 2022, le projet NBA a été piraté. Il y avait des problèmes de contrefaçon et de réutilisation de signatures lors de la vérification de la liste blanche des contrats, sans enregistrement ni vérification des signatures déjà utilisées.
Akutar événement
Le 23 avril 2022, le projet Akutar a entraîné le blocage d'actifs d'une valeur de 34 millions de dollars en raison d'une vulnérabilité dans la logique du contrat. La conception de la fonction de remboursement était inadéquate et ne tenait pas compte des enchères multiples des utilisateurs.
événement XCarnival
Le 24 juin 2022, XCarnival a subi une attaque entraînant une perte d'environ 3,8 millions de dollars. La raison en est le manque de contrôles de sécurité nécessaires lors du processus de mise en gage et de prêt.
Problèmes d'audit courants des contrats NFT
Usurpation et réutilisation de signatures : absence de vérification d'exécution répétée, vérification des signatures non raisonnable.
Vulnérabilité logique : les droits d'administration sont trop étendus, il existe des failles dans le processus d'enchères.
Attaque de réentrance ERC721/ERC1155 : La fonction de notification de transfert peut entraîner une réentrance.
Portée de l'autorisation trop large : les utilisateurs peuvent accorder trop de permissions, ce qui entraîne le vol de NFT.
Manipulation des prix : Les prix des NFT dépendent de facteurs externes et sont susceptibles d'être manipulés.
Conclusion
Les incidents de sécurité des contrats NFT se produisent fréquemment, principalement en raison d'un manque d'audits de sécurité complets. Les équipes de projet doivent accorder de l'importance à la sécurité des contrats et rechercher des entreprises de sécurité professionnelles pour effectuer des audits, afin de prévenir les risques potentiels et de protéger la sécurité des actifs des utilisateurs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
5
Partager
Commentaire
0/400
blocksnark
· 08-02 03:33
Il y a trop de failles, je suis vraiment exaspéré par cette opération stupide.
Voir l'originalRépondre0
HashBrownies
· 07-31 08:59
Tu as dû perdre beaucoup, n'est-ce pas ? Il est clair que tu as appris une leçon, mais tu refuses de ne pas répéter les mêmes erreurs.
Voir l'originalRépondre0
SerLiquidated
· 07-31 04:17
Franchement, qui oserait encore toucher aux NFT maintenant ?
Voir l'originalRépondre0
LiquidationWatcher
· 07-31 04:17
*flashbacks de PTSD à treasuredao* omg pas un autre désastre de contrat intelligent qui attend d'arriver... reste en sécurité anon, vérifie deux fois ces audits ou sois rekt fr fr
Voir l'originalRépondre0
BearMarketSage
· 07-31 04:17
Encore des pigeons qui se font prendre ! C'est vraiment drôle.
Les vulnérabilités de sécurité des contrats NFT se multiplient, l'audit devient une ligne de défense clé.
Analyse des problèmes de sécurité des contrats NFT et recommandations d'audit
Au cours du premier semestre 2022, plusieurs événements de sécurité majeurs ont eu lieu dans le domaine des NFT, entraînant d'énormes pertes économiques. Selon les données surveillées par la plateforme, il y a eu 10 incidents de sécurité majeurs, avec des pertes d'environ 64,9 millions de dollars. Les méthodes d'attaque comprennent principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing. Parallèlement, les attaques de phishing sur la plateforme Discord sont également très répandues, presque tous les jours, des utilisateurs subissent des pertes en cliquant sur des liens malveillants.
Analyse des événements de sécurité typiques
événement TreasureDAO
Le 3 mars 2022, la plateforme d'échange TreasureDAO a été attaquée par des hackers, plus de 100 NFT ont été volés. La raison en est qu'il y avait une vulnérabilité logique dans le contrat, l'utilisation mixte des tokens ERC-1155 et ERC-721 a entraîné une erreur de calcul, permettant aux attaquants d'acheter des NFT à coût zéro.
Événement de distribution de APE Coin
Le 17 mars 2022, des hackers ont obtenu plus de 60 000 APE Coin en utilisant un prêt flash. La vulnérabilité résidait dans le fait que le contrat d'airdrop ne vérifiait que la propriété instantanée de l'appelant sur le NFT, ce qui pouvait être manipulé par un prêt flash.
événement Revest Finance
Le 27 mars 2022, Revest Finance a subi une attaque entraînant une perte de 120 000 $. La raison en est la présence d'une vulnérabilité de réentrance ERC-1155 dans le contrat, permettant à l'attaquant d'appeler plusieurs fois les fonctions concernées pendant le processus de minting.
événement d'attaque du projet NBA
Le 21 avril 2022, le projet NBA a été piraté. Il y avait des problèmes de contrefaçon et de réutilisation de signatures lors de la vérification de la liste blanche des contrats, sans enregistrement ni vérification des signatures déjà utilisées.
Akutar événement
Le 23 avril 2022, le projet Akutar a entraîné le blocage d'actifs d'une valeur de 34 millions de dollars en raison d'une vulnérabilité dans la logique du contrat. La conception de la fonction de remboursement était inadéquate et ne tenait pas compte des enchères multiples des utilisateurs.
événement XCarnival
Le 24 juin 2022, XCarnival a subi une attaque entraînant une perte d'environ 3,8 millions de dollars. La raison en est le manque de contrôles de sécurité nécessaires lors du processus de mise en gage et de prêt.
Problèmes d'audit courants des contrats NFT
Usurpation et réutilisation de signatures : absence de vérification d'exécution répétée, vérification des signatures non raisonnable.
Vulnérabilité logique : les droits d'administration sont trop étendus, il existe des failles dans le processus d'enchères.
Attaque de réentrance ERC721/ERC1155 : La fonction de notification de transfert peut entraîner une réentrance.
Portée de l'autorisation trop large : les utilisateurs peuvent accorder trop de permissions, ce qui entraîne le vol de NFT.
Manipulation des prix : Les prix des NFT dépendent de facteurs externes et sont susceptibles d'être manipulés.
Conclusion
Les incidents de sécurité des contrats NFT se produisent fréquemment, principalement en raison d'un manque d'audits de sécurité complets. Les équipes de projet doivent accorder de l'importance à la sécurité des contrats et rechercher des entreprises de sécurité professionnelles pour effectuer des audits, afin de prévenir les risques potentiels et de protéger la sécurité des actifs des utilisateurs.