Les incidents de sécurité des contrats NFT se multiplient : six points d'audit pour prévenir les risques.

Analyse des problèmes de sécurité des contrats NFT et points clés de l'audit

Au cours du premier semestre 2022, plusieurs incidents de sécurité majeurs ont eu lieu dans le domaine des NFT, entraînant des pertes d'environ 64,9 millions de dollars. Ces événements concernaient principalement des exploits de vulnérabilités de contrats, des fuites de clés privées et des attaques de phishing. Il est à noter que des incidents de phishing sur la plateforme Discord se produisent presque tous les jours, entraînant des pertes pour un grand nombre d'utilisateurs individuels.

Analyse des incidents de sécurité NFT du premier semestre : quels cas typiques devons-nous surveiller ?

Analyse des incidents de sécurité typiques

TreasureDAO événement

Le 3 mars, la plateforme de trading TreasureDAO a été attaquée, et plus de 100 NFT ont été volés. La vulnérabilité provient d'une erreur logique dans le contrat TreasureMarketplaceBuyer, permettant aux attaquants d'acheter des NFT sans paiement. Ce problème est principalement dû à la confusion logique causée par le mélange des tokens ERC-1155 et ERC-721.

APE Coin airdrop événement

Le 17 mars, des attaquants ont utilisé un prêt éclair pour obtenir plus de 60 000 APE Coin airdrops. La vulnérabilité se trouvait dans le contrat d'airdrop, qui ne vérifiait que la propriété instantanée de l'utilisateur sur le NFT, ce qui pouvait être manipulé par le prêt éclair.

Événement Revest Finance

Le 27 mars, Revest Finance a été attaqué, entraînant une perte d'environ 120 000 dollars. Il s'agit d'une attaque de réentrance typique ERC-1155, résultant d'un défaut de logique dans le contrat lors de la création de nouveaux FNFT.

projet NBA attaque

Le 21 avril, le projet NBA a été attaqué. Le problème réside dans le mécanisme de vérification de signature de validation de la liste blanche, qui présente des vulnérabilités de contrefaçon et de réutilisation de signature.

Akutar événement

Le 23 avril, une vulnérabilité dans le contrat intelligent du projet Akutar a entraîné le blocage d'environ 34 millions de dollars d'actifs. Cela est dû à un défaut logique dans la fonction de remboursement du contrat, qui n'a pas tenu compte du fait que les utilisateurs pourraient enchérir sur plusieurs NFT.

événement XCarnival

Le 24 juin, XCarnival a été attaqué, entraînant une perte d'environ 3,8 millions de dollars. La vulnérabilité résidait dans le manque de vérifications de sécurité nécessaires dans les fonctions de staking et de prêt du contrat XNFT.

Analyse des incidents de sécurité NFT au premier semestre : quels cas typiques devrions-nous surveiller ?

Questions Fréquemment Posées sur l'Audit des Contrats NFT

  1. Usurpation et réutilisation de signature :

    • Manque de validation d'exécution répétée
    • Vérification de signature non raisonnable
  2. Failles logiques :

    • Mauvaise gestion de l'offre totale de monnaie
    • L'ordre des transactions pendant le processus d'enchères dépend des attaques
  3. Attaque par réentrance ERC721 & ERC1155 :

    • La fonction de notification de transfert peut entraîner une réentrée
  4. Portée de l'autorisation trop large :

    • Des autorisations globales inutiles peuvent entraîner le vol de NFT
  5. Manipulation des prix :

    • Le prix des NFT dépend des facteurs externes et peut être facilement manipulé.

La présence de ces problèmes de sécurité souligne l'importance d'un audit professionnel complet des contrats NFT. Les équipes de projet doivent accorder de l'importance à la sécurité des contrats, en effectuant des audits de sécurité professionnels pour éviter les risques potentiels et protéger la sécurité des actifs des utilisateurs.

Analyse des incidents de sécurité NFT du premier semestre : Quels cas typiques devrions-nous surveiller ?

APE-0.29%
XCV-2.44%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • 3
  • Partager
Commentaire
0/400
FloorPriceWatchervip
· 08-01 15:54
Zut zut, combien de temps encore devrons-nous tomber dans le même piège ?
Voir l'originalRépondre0
gas_fee_therapyvip
· 08-01 15:36
Encore victime de l'exploitation gratuite? Les failles des contrats sont vraiment diaboliques.
Voir l'originalRépondre0
AlgoAlchemistvip
· 08-01 15:34
Eh bien, encore un DAO qui a été exposé, mais ce n'est pas grave.
Voir l'originalRépondre0
Trader les cryptos partout et à tout moment
qrCode
Scan pour télécharger Gate app
Communauté
Français (Afrique)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)