Análise de problemas de segurança de contratos NFT e sugestões de auditoria
No primeiro semestre de 2022, ocorreram vários incidentes de segurança significativos no campo dos NFTs, resultando em enormes perdas econômicas. De acordo com monitoramento de plataformas de dados, apenas os principais incidentes de segurança somaram 10, com perdas de cerca de 6.49 milhões de dólares. As principais formas de ataque incluíram exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Ao mesmo tempo, os ataques de phishing na plataforma Discord também estavam muito disseminados, com usuários sofrendo perdas quase diariamente devido ao clique em links maliciosos.
Análise de Eventos de Segurança Típicos
Evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi alvo de um ataque de hackers, resultando no roubo de mais de 100 NFTs. A razão foi uma falha lógica no contrato, onde a mistura de tokens ERC-1155 e ERC-721 levou a um erro de cálculo, permitindo que os atacantes comprassem NFTs a custo zero.
APE Coin airdrop event
No dia 17 de março de 2022, hackers usaram um empréstimo relâmpago para obter mais de 60 mil APE Coin em airdrop. A vulnerabilidade estava no fato de que o contrato de airdrop apenas verificava a propriedade instantânea do NFT pelo chamador, o que podia ser manipulado através do empréstimo relâmpago.
Evento Revest Finance
No dia 27 de março de 2022, a Revest Finance sofreu um ataque que resultou em uma perda de 120.000 dólares. A razão foi a existência de uma vulnerabilidade de reentrada ERC-1155 no contrato, permitindo que o atacante chamasse repetidamente as funções relacionadas durante o processo de mintagem.
incidente de ataque do projeto NBA
No dia 21 de abril de 2022, o projeto da NBA foi alvo de um ataque hacker. O contrato apresentava problemas de falsificação e reutilização de assinaturas ao verificar a lista branca, sem registrar e validar as assinaturas já utilizadas.
Evento Akutar
No dia 23 de abril de 2022, o projeto Akutar teve 34 milhões de dólares em ativos bloqueados devido a uma falha na lógica do contrato. A função de reembolso foi mal projetada e não considerou a situação de os usuários fazerem múltiplas licitações.
Evento XCarnival
No dia 24 de junho de 2022, o XCarnival sofreu um ataque que resultou na perda de cerca de 3,8 milhões de dólares. A razão foi a falta de verificações de segurança necessárias durante o processo de staking e empréstimos.
Questões comuns de auditoria em contratos NFT
Uso indevido e reutilização de assinaturas: falta de verificação de execução repetida, verificação de assinaturas inadequada.
Falha lógica: permissões de administrador excessivas, existem falhas no processo de leilão.
Ataque de reentrada ERC721/ERC1155: A funcionalidade de notificação de transferência pode levar a reentradas.
A gama de autorização é excessiva: os usuários podem conceder permissões excessivas, levando ao roubo de NFTs.
Manipulação de preços: Os preços dos NFTs dependem de fatores externos e são facilmente manipuláveis.
Conclusão
Eventos de segurança de contratos NFT ocorrem com frequência, e a principal razão é a falta de auditoria de segurança abrangente. As equipes de projeto devem dar importância à segurança dos contratos e buscar empresas de segurança profissionais para realizar auditorias, a fim de prevenir riscos potenciais e proteger a segurança dos ativos dos usuários.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
16 gostos
Recompensa
16
5
Partilhar
Comentar
0/400
blocksnark
· 08-02 03:33
Há muitos bugs, estou realmente impressionado com esta operação estúpida.
Ver originalResponder0
HashBrownies
· 07-31 08:59
Perdeu muito, não é? Claramente aprendeu a lição, mas insiste em repetir os mesmos erros.
Ver originalResponder0
SerLiquidated
· 07-31 04:17
A verdade é que agora quem ainda se atreve a tocar em NFTs?
Ver originalResponder0
LiquidationWatcher
· 07-31 04:17
*flashbacks de PTSD ao treasuredao* omg não outro desastre de contrato inteligente esperando para acontecer... mantenha-se seguro anon, verifique essas auditorias ou leve um rekt fr fr
A segurança dos contratos NFT apresenta frequentes riscos, e a auditoria torna-se a linha de defesa crucial.
Análise de problemas de segurança de contratos NFT e sugestões de auditoria
No primeiro semestre de 2022, ocorreram vários incidentes de segurança significativos no campo dos NFTs, resultando em enormes perdas econômicas. De acordo com monitoramento de plataformas de dados, apenas os principais incidentes de segurança somaram 10, com perdas de cerca de 6.49 milhões de dólares. As principais formas de ataque incluíram exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Ao mesmo tempo, os ataques de phishing na plataforma Discord também estavam muito disseminados, com usuários sofrendo perdas quase diariamente devido ao clique em links maliciosos.
Análise de Eventos de Segurança Típicos
Evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi alvo de um ataque de hackers, resultando no roubo de mais de 100 NFTs. A razão foi uma falha lógica no contrato, onde a mistura de tokens ERC-1155 e ERC-721 levou a um erro de cálculo, permitindo que os atacantes comprassem NFTs a custo zero.
APE Coin airdrop event
No dia 17 de março de 2022, hackers usaram um empréstimo relâmpago para obter mais de 60 mil APE Coin em airdrop. A vulnerabilidade estava no fato de que o contrato de airdrop apenas verificava a propriedade instantânea do NFT pelo chamador, o que podia ser manipulado através do empréstimo relâmpago.
Evento Revest Finance
No dia 27 de março de 2022, a Revest Finance sofreu um ataque que resultou em uma perda de 120.000 dólares. A razão foi a existência de uma vulnerabilidade de reentrada ERC-1155 no contrato, permitindo que o atacante chamasse repetidamente as funções relacionadas durante o processo de mintagem.
incidente de ataque do projeto NBA
No dia 21 de abril de 2022, o projeto da NBA foi alvo de um ataque hacker. O contrato apresentava problemas de falsificação e reutilização de assinaturas ao verificar a lista branca, sem registrar e validar as assinaturas já utilizadas.
Evento Akutar
No dia 23 de abril de 2022, o projeto Akutar teve 34 milhões de dólares em ativos bloqueados devido a uma falha na lógica do contrato. A função de reembolso foi mal projetada e não considerou a situação de os usuários fazerem múltiplas licitações.
Evento XCarnival
No dia 24 de junho de 2022, o XCarnival sofreu um ataque que resultou na perda de cerca de 3,8 milhões de dólares. A razão foi a falta de verificações de segurança necessárias durante o processo de staking e empréstimos.
Questões comuns de auditoria em contratos NFT
Uso indevido e reutilização de assinaturas: falta de verificação de execução repetida, verificação de assinaturas inadequada.
Falha lógica: permissões de administrador excessivas, existem falhas no processo de leilão.
Ataque de reentrada ERC721/ERC1155: A funcionalidade de notificação de transferência pode levar a reentradas.
A gama de autorização é excessiva: os usuários podem conceder permissões excessivas, levando ao roubo de NFTs.
Manipulação de preços: Os preços dos NFTs dependem de fatores externos e são facilmente manipuláveis.
Conclusão
Eventos de segurança de contratos NFT ocorrem com frequência, e a principal razão é a falta de auditoria de segurança abrangente. As equipes de projeto devem dar importância à segurança dos contratos e buscar empresas de segurança profissionais para realizar auditorias, a fim de prevenir riscos potenciais e proteger a segurança dos ativos dos usuários.