Análise de Problemas de Segurança de Contratos NFT e Pontos de Auditoria
No primeiro semestre de 2022, ocorreram vários eventos de segurança significativos no campo dos NFTs, resultando em perdas de cerca de 64,9 milhões de dólares. Esses eventos envolveram principalmente a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e ataques de phishing. Vale a pena notar que os eventos de phishing na plataforma Discord ocorrem quase todos os dias, resultando em perdas significativas para muitos usuários individuais.
Análise de Eventos de Segurança Típicos
TreasureDAO evento
No dia 3 de março, a plataforma de negociação TreasureDAO sofreu um ataque, resultando no roubo de mais de 100 NFTs. A vulnerabilidade originou-se de um erro lógico no contrato TreasureMarketplaceBuyer, que permitia aos atacantes comprar NFTs sem pagamento. Este problema decorreu principalmente da confusão lógica causada pela mistura de tokens ERC-1155 e ERC-721.
APE Coin airdrop event
No dia 17 de março, os atacantes utilizaram um empréstimo relâmpago para obter mais de 60 mil APE Coin em airdrop. A vulnerabilidade existia no contrato de airdrop, que verificava apenas a propriedade momentânea do NFT pelo usuário, o que pode ser manipulado através de um empréstimo relâmpago.
Revest Finance evento
No dia 27 de março, a Revest Finance foi atacada, resultando em uma perda de cerca de 120 mil dólares. Este é um exemplo típico de um ataque de reentrada ERC-1155, originado de um defeito lógico no contrato ao cunhar novos FNFTs.
projeto NBA ataque
No dia 21 de abril, o projeto da NBA sofreu um ataque. O problema estava no mecanismo de verificação de assinatura da validação de lista branca, que apresentava vulnerabilidades de uso indevido e reutilização de assinaturas.
Akutar evento
No dia 23 de abril, uma vulnerabilidade no contrato inteligente do projeto Akutar resultou no bloqueio de ativos no valor de cerca de 34 milhões de dólares. Isso ocorreu devido a uma falha lógica na função de reembolso do contrato, que não considerou a possibilidade de os usuários licitarem múltiplos NFTs.
Evento XCarnival
No dia 24 de junho, o XCarnival foi atacado, resultando em uma perda de cerca de 3,8 milhões de dólares. A vulnerabilidade estava nas funções de staking e empréstimo do contrato XNFT, que careciam das verificações de segurança necessárias.
Perguntas Frequentes sobre Auditoria de Contratos NFT
Uso indevido e reutilização de assinaturas:
Falta de validação de execução repetida
Verificação de assinatura não razoável
Falha lógica:
Controle inadequado da quantidade total de moedas
A ordem das transações durante o processo de leilão depende de ataques
Ataques de reentrada ERC721 & ERC1155:
A função de notificação de transferência pode causar reentrada
A abrangência da autorização é excessiva:
Autorizações globais desnecessárias podem levar ao roubo de NFT
Manipulação de preços:
O preço do NFT depende de fatores externos, sendo facilmente manipulado
A existência desses problemas de segurança destaca a importância de uma auditoria profissional completa dos contratos de NFT. As equipes de projeto devem dar importância à segurança dos contratos, evitando riscos potenciais por meio de auditorias de segurança profissionais para proteger a segurança dos ativos dos usuários.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
10 gostos
Recompensa
10
3
Partilhar
Comentar
0/400
FloorPriceWatcher
· 08-01 15:54
Tsk tsk, quanto tempo mais teremos que cair no mesmo buraco?
Ver originalResponder0
gas_fee_therapy
· 08-01 15:36
Mais uma vez foi enganado? As vulnerabilidades dos contratos são realmente diabólicas.
Eventos de segurança de contratos NFT ocorrem com frequência Seis pontos de auditoria para prevenir riscos
Análise de Problemas de Segurança de Contratos NFT e Pontos de Auditoria
No primeiro semestre de 2022, ocorreram vários eventos de segurança significativos no campo dos NFTs, resultando em perdas de cerca de 64,9 milhões de dólares. Esses eventos envolveram principalmente a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e ataques de phishing. Vale a pena notar que os eventos de phishing na plataforma Discord ocorrem quase todos os dias, resultando em perdas significativas para muitos usuários individuais.
Análise de Eventos de Segurança Típicos
TreasureDAO evento
No dia 3 de março, a plataforma de negociação TreasureDAO sofreu um ataque, resultando no roubo de mais de 100 NFTs. A vulnerabilidade originou-se de um erro lógico no contrato TreasureMarketplaceBuyer, que permitia aos atacantes comprar NFTs sem pagamento. Este problema decorreu principalmente da confusão lógica causada pela mistura de tokens ERC-1155 e ERC-721.
APE Coin airdrop event
No dia 17 de março, os atacantes utilizaram um empréstimo relâmpago para obter mais de 60 mil APE Coin em airdrop. A vulnerabilidade existia no contrato de airdrop, que verificava apenas a propriedade momentânea do NFT pelo usuário, o que pode ser manipulado através de um empréstimo relâmpago.
Revest Finance evento
No dia 27 de março, a Revest Finance foi atacada, resultando em uma perda de cerca de 120 mil dólares. Este é um exemplo típico de um ataque de reentrada ERC-1155, originado de um defeito lógico no contrato ao cunhar novos FNFTs.
projeto NBA ataque
No dia 21 de abril, o projeto da NBA sofreu um ataque. O problema estava no mecanismo de verificação de assinatura da validação de lista branca, que apresentava vulnerabilidades de uso indevido e reutilização de assinaturas.
Akutar evento
No dia 23 de abril, uma vulnerabilidade no contrato inteligente do projeto Akutar resultou no bloqueio de ativos no valor de cerca de 34 milhões de dólares. Isso ocorreu devido a uma falha lógica na função de reembolso do contrato, que não considerou a possibilidade de os usuários licitarem múltiplos NFTs.
Evento XCarnival
No dia 24 de junho, o XCarnival foi atacado, resultando em uma perda de cerca de 3,8 milhões de dólares. A vulnerabilidade estava nas funções de staking e empréstimo do contrato XNFT, que careciam das verificações de segurança necessárias.
Perguntas Frequentes sobre Auditoria de Contratos NFT
Uso indevido e reutilização de assinaturas:
Falha lógica:
Ataques de reentrada ERC721 & ERC1155:
A abrangência da autorização é excessiva:
Manipulação de preços:
A existência desses problemas de segurança destaca a importância de uma auditoria profissional completa dos contratos de NFT. As equipes de projeto devem dar importância à segurança dos contratos, evitando riscos potenciais por meio de auditorias de segurança profissionais para proteger a segurança dos ativos dos usuários.