Analyse des problèmes de sécurité des contrats NFT et points clés de l'audit
Au cours du premier semestre 2022, plusieurs incidents de sécurité majeurs ont eu lieu dans le domaine des NFT, entraînant des pertes d'environ 64,9 millions de dollars. Ces événements concernaient principalement des exploits de vulnérabilités de contrats, des fuites de clés privées et des attaques de phishing. Il est à noter que des incidents de phishing sur la plateforme Discord se produisent presque tous les jours, entraînant des pertes pour un grand nombre d'utilisateurs individuels.
Analyse des incidents de sécurité typiques
TreasureDAO événement
Le 3 mars, la plateforme de trading TreasureDAO a été attaquée, et plus de 100 NFT ont été volés. La vulnérabilité provient d'une erreur logique dans le contrat TreasureMarketplaceBuyer, permettant aux attaquants d'acheter des NFT sans paiement. Ce problème est principalement dû à la confusion logique causée par le mélange des tokens ERC-1155 et ERC-721.
APE Coin airdrop événement
Le 17 mars, des attaquants ont utilisé un prêt éclair pour obtenir plus de 60 000 APE Coin airdrops. La vulnérabilité se trouvait dans le contrat d'airdrop, qui ne vérifiait que la propriété instantanée de l'utilisateur sur le NFT, ce qui pouvait être manipulé par le prêt éclair.
Événement Revest Finance
Le 27 mars, Revest Finance a été attaqué, entraînant une perte d'environ 120 000 dollars. Il s'agit d'une attaque de réentrance typique ERC-1155, résultant d'un défaut de logique dans le contrat lors de la création de nouveaux FNFT.
projet NBA attaque
Le 21 avril, le projet NBA a été attaqué. Le problème réside dans le mécanisme de vérification de signature de validation de la liste blanche, qui présente des vulnérabilités de contrefaçon et de réutilisation de signature.
Akutar événement
Le 23 avril, une vulnérabilité dans le contrat intelligent du projet Akutar a entraîné le blocage d'environ 34 millions de dollars d'actifs. Cela est dû à un défaut logique dans la fonction de remboursement du contrat, qui n'a pas tenu compte du fait que les utilisateurs pourraient enchérir sur plusieurs NFT.
événement XCarnival
Le 24 juin, XCarnival a été attaqué, entraînant une perte d'environ 3,8 millions de dollars. La vulnérabilité résidait dans le manque de vérifications de sécurité nécessaires dans les fonctions de staking et de prêt du contrat XNFT.
Questions Fréquemment Posées sur l'Audit des Contrats NFT
Usurpation et réutilisation de signature :
Manque de validation d'exécution répétée
Vérification de signature non raisonnable
Failles logiques :
Mauvaise gestion de l'offre totale de monnaie
L'ordre des transactions pendant le processus d'enchères dépend des attaques
Attaque par réentrance ERC721 & ERC1155 :
La fonction de notification de transfert peut entraîner une réentrée
Portée de l'autorisation trop large :
Des autorisations globales inutiles peuvent entraîner le vol de NFT
Manipulation des prix :
Le prix des NFT dépend des facteurs externes et peut être facilement manipulé.
La présence de ces problèmes de sécurité souligne l'importance d'un audit professionnel complet des contrats NFT. Les équipes de projet doivent accorder de l'importance à la sécurité des contrats, en effectuant des audits de sécurité professionnels pour éviter les risques potentiels et protéger la sécurité des actifs des utilisateurs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
10 J'aime
Récompense
10
3
Partager
Commentaire
0/400
FloorPriceWatcher
· 08-01 15:54
Zut zut, combien de temps encore devrons-nous tomber dans le même piège ?
Voir l'originalRépondre0
gas_fee_therapy
· 08-01 15:36
Encore victime de l'exploitation gratuite? Les failles des contrats sont vraiment diaboliques.
Voir l'originalRépondre0
AlgoAlchemist
· 08-01 15:34
Eh bien, encore un DAO qui a été exposé, mais ce n'est pas grave.
Les incidents de sécurité des contrats NFT se multiplient : six points d'audit pour prévenir les risques.
Analyse des problèmes de sécurité des contrats NFT et points clés de l'audit
Au cours du premier semestre 2022, plusieurs incidents de sécurité majeurs ont eu lieu dans le domaine des NFT, entraînant des pertes d'environ 64,9 millions de dollars. Ces événements concernaient principalement des exploits de vulnérabilités de contrats, des fuites de clés privées et des attaques de phishing. Il est à noter que des incidents de phishing sur la plateforme Discord se produisent presque tous les jours, entraînant des pertes pour un grand nombre d'utilisateurs individuels.
Analyse des incidents de sécurité typiques
TreasureDAO événement
Le 3 mars, la plateforme de trading TreasureDAO a été attaquée, et plus de 100 NFT ont été volés. La vulnérabilité provient d'une erreur logique dans le contrat TreasureMarketplaceBuyer, permettant aux attaquants d'acheter des NFT sans paiement. Ce problème est principalement dû à la confusion logique causée par le mélange des tokens ERC-1155 et ERC-721.
APE Coin airdrop événement
Le 17 mars, des attaquants ont utilisé un prêt éclair pour obtenir plus de 60 000 APE Coin airdrops. La vulnérabilité se trouvait dans le contrat d'airdrop, qui ne vérifiait que la propriété instantanée de l'utilisateur sur le NFT, ce qui pouvait être manipulé par le prêt éclair.
Événement Revest Finance
Le 27 mars, Revest Finance a été attaqué, entraînant une perte d'environ 120 000 dollars. Il s'agit d'une attaque de réentrance typique ERC-1155, résultant d'un défaut de logique dans le contrat lors de la création de nouveaux FNFT.
projet NBA attaque
Le 21 avril, le projet NBA a été attaqué. Le problème réside dans le mécanisme de vérification de signature de validation de la liste blanche, qui présente des vulnérabilités de contrefaçon et de réutilisation de signature.
Akutar événement
Le 23 avril, une vulnérabilité dans le contrat intelligent du projet Akutar a entraîné le blocage d'environ 34 millions de dollars d'actifs. Cela est dû à un défaut logique dans la fonction de remboursement du contrat, qui n'a pas tenu compte du fait que les utilisateurs pourraient enchérir sur plusieurs NFT.
événement XCarnival
Le 24 juin, XCarnival a été attaqué, entraînant une perte d'environ 3,8 millions de dollars. La vulnérabilité résidait dans le manque de vérifications de sécurité nécessaires dans les fonctions de staking et de prêt du contrat XNFT.
Questions Fréquemment Posées sur l'Audit des Contrats NFT
Usurpation et réutilisation de signature :
Failles logiques :
Attaque par réentrance ERC721 & ERC1155 :
Portée de l'autorisation trop large :
Manipulation des prix :
La présence de ces problèmes de sécurité souligne l'importance d'un audit professionnel complet des contrats NFT. Les équipes de projet doivent accorder de l'importance à la sécurité des contrats, en effectuant des audits de sécurité professionnels pour éviter les risques potentiels et protéger la sécurité des actifs des utilisateurs.