Seguridad de contratos NFT: revisión de eventos del primer semestre de 2022 y análisis de preguntas frecuentes sobre auditorías
En la primera mitad de 2022, los eventos de seguridad en el ámbito de NFT fueron frecuentes, causando enormes pérdidas económicas. Según el monitoreo de plataformas de datos, se produjeron un total de 10 eventos de seguridad principales, con pérdidas de aproximadamente 6.49 millones de dólares. Los métodos de ataque incluían principalmente la explotación de vulnerabilidades en contratos, filtración de claves privadas y phishing, entre otros. Al mismo tiempo, los incidentes de phishing en Discord ocurrían casi a diario, y los usuarios individuales sufrían pérdidas con frecuencia.
Revisión de incidentes de seguridad típicos
Evento TreasureDAO
El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada por hackers y se robaron más de 100 NFT. La vulnerabilidad se originó en la lógica confusa de la función buyItem del contrato TreasureMarketplaceBuyer, que calculó el precio directamente sin verificar el tipo de token, lo que permitió comprar NFT con 0 tokens ERC-20. Esto refleja los problemas lógicos que pueden surgir al mezclar tokens ERC-1155 y ERC-721.
APE Coin evento de airdrop
El 17 de marzo de 2022, un hacker obtuvo más de 60,000 APE Coin mediante un préstamo relámpago. El contrato de airdrop de AirdropGrapesToken solo determina la propiedad del NFT a través de balanceOf(), y este método es fácil de manipular con un préstamo relámpago.
evento de Revest Finance
El 27 de marzo de 2022, Revest Finance fue atacado, perdiendo 120,000 dólares. La vulnerabilidad se originó en un ataque de reentrada en ERC-1155, ya que el contrato no verificó si ya existía al acuñar nuevos FNFT, y la variable de estado se incrementó después de _mint(), lo que provocó la vulnerabilidad de reentrada.
evento NBA de aprovecharse
El 21 de abril de 2022, el proyecto NBA fue atacado. El contrato The_Association_Sales presentaba problemas de suplantación y reutilización de firmas durante la verificación de la lista blanca, no almacenaba las firmas utilizadas y no verificaba msg.sender al pasar parámetros.
Evento Akutar
El 23 de abril de 2022, un fallo en el contrato AkuAuction del proyecto Akutar causó el bloqueo de 11,500 ETH. Existen principalmente dos problemas lógicos: la función de reembolso puede ser interrumpida maliciosamente; no se tuvo en cuenta la situación de las pujas múltiples de los usuarios, lo que impide que se ejecute el reembolso.
Evento de XCarnival
El 24 de junio de 2022, XCarnival sufrió un ataque con una pérdida de 3087 ETH. El contrato XNFT no verificó la dirección xToken al hacer staking de NFT, y no se verificó el estado del registro de colateral al hacer un préstamo, lo que permitió a los atacantes usar repetidamente colaterales inválidos para los préstamos.
Preguntas frecuentes sobre la auditoría de contratos NFT
Suplantación y reutilización de firmas: falta de verificación de ejecución repetida; verificación de firmas no razonable.
Vulnerabilidades lógicas: el administrador puede eludir el límite total de acuñación; existe un ataque de dependencia del orden de transacciones durante la subasta.
Ataque de reentrada ERC721/ERC1155: puede ocurrir reentrada al usar la función de notificación de transferencia.
Alcance de autorización demasiado amplio: se requiere autorización global en lugar de autorización de un solo token, lo que aumenta el riesgo de robo de NFT.
Manipulación de precios: El precio de NFT depende de la cantidad de tokens de un contrato, que puede ser manipulado por préstamos relámpago.
En general, la frecuencia de eventos de seguridad en contratos NFT refleja la importancia de una auditoría de seguridad profesional. Los proyectos deben dar importancia a la seguridad de los contratos y buscar auditorías profesionales para prevenir riesgos potenciales.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
6
Republicar
Compartir
Comentar
0/400
CommunitySlacker
· hace18h
¿Cómo es posible que una vulnerabilidad en un contrato inteligente pueda aprovecharse tanto?
Ver originalesResponder0
OnChainDetective
· hace18h
otro día, otro hackeo... el análisis de patrones sugiere un 90% debido a descuidos básicos en los contratos smh
Ver originalesResponder0
NotFinancialAdviser
· hace18h
Casi pierdo hasta los pantalones. Invertir con precaución.
Ver originalesResponder0
RebaseVictim
· hace18h
Cadena de bloques ser engañados grandes inversores Tener dinero aún hay que perseguir NFT
Ver originalesResponder0
ImpermanentLossFan
· hace18h
60k dólares, ¡otra vez ganando! Qué mal.
Ver originalesResponder0
ApyWhisperer
· hace19h
Otra vez vulnerabilidades en contratos inteligentes, tsk tsk.
Las vulnerabilidades de los contratos NFT son frecuentes, y en la primera mitad de 2022 se perdieron 6490 millones de dólares.
Seguridad de contratos NFT: revisión de eventos del primer semestre de 2022 y análisis de preguntas frecuentes sobre auditorías
En la primera mitad de 2022, los eventos de seguridad en el ámbito de NFT fueron frecuentes, causando enormes pérdidas económicas. Según el monitoreo de plataformas de datos, se produjeron un total de 10 eventos de seguridad principales, con pérdidas de aproximadamente 6.49 millones de dólares. Los métodos de ataque incluían principalmente la explotación de vulnerabilidades en contratos, filtración de claves privadas y phishing, entre otros. Al mismo tiempo, los incidentes de phishing en Discord ocurrían casi a diario, y los usuarios individuales sufrían pérdidas con frecuencia.
Revisión de incidentes de seguridad típicos
Evento TreasureDAO
El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada por hackers y se robaron más de 100 NFT. La vulnerabilidad se originó en la lógica confusa de la función buyItem del contrato TreasureMarketplaceBuyer, que calculó el precio directamente sin verificar el tipo de token, lo que permitió comprar NFT con 0 tokens ERC-20. Esto refleja los problemas lógicos que pueden surgir al mezclar tokens ERC-1155 y ERC-721.
APE Coin evento de airdrop
El 17 de marzo de 2022, un hacker obtuvo más de 60,000 APE Coin mediante un préstamo relámpago. El contrato de airdrop de AirdropGrapesToken solo determina la propiedad del NFT a través de balanceOf(), y este método es fácil de manipular con un préstamo relámpago.
evento de Revest Finance
El 27 de marzo de 2022, Revest Finance fue atacado, perdiendo 120,000 dólares. La vulnerabilidad se originó en un ataque de reentrada en ERC-1155, ya que el contrato no verificó si ya existía al acuñar nuevos FNFT, y la variable de estado se incrementó después de _mint(), lo que provocó la vulnerabilidad de reentrada.
evento NBA de aprovecharse
El 21 de abril de 2022, el proyecto NBA fue atacado. El contrato The_Association_Sales presentaba problemas de suplantación y reutilización de firmas durante la verificación de la lista blanca, no almacenaba las firmas utilizadas y no verificaba msg.sender al pasar parámetros.
Evento Akutar
El 23 de abril de 2022, un fallo en el contrato AkuAuction del proyecto Akutar causó el bloqueo de 11,500 ETH. Existen principalmente dos problemas lógicos: la función de reembolso puede ser interrumpida maliciosamente; no se tuvo en cuenta la situación de las pujas múltiples de los usuarios, lo que impide que se ejecute el reembolso.
Evento de XCarnival
El 24 de junio de 2022, XCarnival sufrió un ataque con una pérdida de 3087 ETH. El contrato XNFT no verificó la dirección xToken al hacer staking de NFT, y no se verificó el estado del registro de colateral al hacer un préstamo, lo que permitió a los atacantes usar repetidamente colaterales inválidos para los préstamos.
Preguntas frecuentes sobre la auditoría de contratos NFT
Suplantación y reutilización de firmas: falta de verificación de ejecución repetida; verificación de firmas no razonable.
Vulnerabilidades lógicas: el administrador puede eludir el límite total de acuñación; existe un ataque de dependencia del orden de transacciones durante la subasta.
Ataque de reentrada ERC721/ERC1155: puede ocurrir reentrada al usar la función de notificación de transferencia.
Alcance de autorización demasiado amplio: se requiere autorización global en lugar de autorización de un solo token, lo que aumenta el riesgo de robo de NFT.
Manipulación de precios: El precio de NFT depende de la cantidad de tokens de un contrato, que puede ser manipulado por préstamos relámpago.
En general, la frecuencia de eventos de seguridad en contratos NFT refleja la importancia de una auditoría de seguridad profesional. Los proyectos deben dar importancia a la seguridad de los contratos y buscar auditorías profesionales para prevenir riesgos potenciales.