Análisis de preguntas frecuentes sobre auditoría de contratos NFT y eventos de seguridad típicos
En la primera mitad de 2022, ocurrieron frecuentes incidentes de seguridad en el ámbito de NFT, lo que causó enormes pérdidas económicas. Según el monitoreo de plataformas de datos, durante este período se registraron 10 incidentes importantes de seguridad en NFT, con pérdidas de aproximadamente 64.9 millones de dólares. Las principales formas de ataque incluyen la explotación de vulnerabilidades en contratos, filtración de claves privadas y phishing. Cabe destacar que los servidores de Discord fueron atacados con frecuencia, y los usuarios a menudo perdieron dinero al hacer clic en enlaces de phishing.
Análisis de incidentes de seguridad típicos de NFT
evento TreasureDAO
El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada por hackers, lo que resultó en el robo de más de 100 NFT. La vulnerabilidad existía en la función buyItem del contrato TreasureMarketplaceBuyer, que permitía a los atacantes comprar tokens con un monto de pago de ERC-20 de 0 debido a la falta de verificación del tipo de token. Este incidente destacó el problema de confusión lógica causado por la mezcla de tokens ERC-1155 y ERC-721.
evento de airdrop de APE Coin
El 17 de marzo de 2022, un hacker aprovechó un préstamo relámpago para obtener más de 60,000 APE Coin a través de un airdrop. La vulnerabilidad provino del contrato de airdrop de AirdropGrapesToken que utilizaba alpha.balanceOf() y beta.balanceOf() para determinar la propiedad del usuario sobre los NFT de BAYC/MAYC, y este método solo puede obtener un estado instantáneo, lo que facilita la manipulación mediante préstamos relámpago.
Evento de Revest Finance
El 27 de marzo de 2022, Revest Finance fue atacado, perdiendo 120,000 dólares. La vulnerabilidad se encontraba en la función depositAdditionalToFNFT() del contrato de Revest, donde, debido a un problema de reentrada de ERC-1155, el atacante pudo ejecutar múltiples operaciones de acuñación.
evento de aprovechamiento de la NBA
El 21 de abril de 2022, el proyecto de la NBA sufrió un ataque de hackers. El contrato The_Association_Sales presentaba problemas de suplantación y reutilización de firmas al verificar la lista blanca, principalmente debido a que no se almacenaban las firmas utilizadas y faltaba la verificación de msg.sender.
Akutar事件
El 23 de abril de 2022, un fallo en el contrato AkuAuction del proyecto Akutar provocó el bloqueo de 11539 ETH (aproximadamente 34 millones de dólares). Los principales problemas incluyen defectos lógicos en la función de reembolso y la falta de consideración de las pujas múltiples de los usuarios.
evento XCarnival
El 24 de junio de 2022, el protocolo de préstamos NFT XCarnival fue atacado, con una pérdida de aproximadamente 3.8 millones de dólares. La función pledgeAndBorrow del contrato XNFT tenía una vulnerabilidad lógica, ya que no realizó una verificación efectiva de la dirección xToken y del estado del registro de colateral.
Preguntas frecuentes sobre la auditoría de contratos NFT
Suplantación y reutilización de firmas:
Falta la verificación de ejecución repetida, lo que permite reutilizar los datos de firma para acuñar NFT
La verificación de la firma no es estricta, lo que puede permitir que cualquier usuario realice la acuñación a través de la verificación.
Vulnerabilidades lógicas:
El administrador del contrato puede eludir el límite total de emisión de monedas
Existe el riesgo de ataques de dependencia de orden de transacción durante el proceso de subasta.
Ataques de reentrada ERC721/ERC1155:
El uso de la función de notificación de transferencias puede llevar a ataques de reentrada
El alcance de la autorización es demasiado amplio:
Solicitar permisos excesivos puede llevar al riesgo de robo de NFT
Manipulación de precios:
El precio del NFT depende de la cantidad de tokens en contratos externos, y puede estar sujeto a ataques de préstamos relámpago.
Estos problemas aparecen con frecuencia en eventos de seguridad reales, lo que destaca la importancia de realizar auditorías de seguridad profesionales en los contratos de NFT. Los equipos de los proyectos deben dar importancia a la seguridad de los contratos, detectar y corregir a tiempo las vulnerabilidades potenciales para prevenir que ocurran eventos similares nuevamente.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Los incidentes de seguridad en contratos NFT son frecuentes: análisis de seis casos típicos y puntos clave de auditoría.
Análisis de preguntas frecuentes sobre auditoría de contratos NFT y eventos de seguridad típicos
En la primera mitad de 2022, ocurrieron frecuentes incidentes de seguridad en el ámbito de NFT, lo que causó enormes pérdidas económicas. Según el monitoreo de plataformas de datos, durante este período se registraron 10 incidentes importantes de seguridad en NFT, con pérdidas de aproximadamente 64.9 millones de dólares. Las principales formas de ataque incluyen la explotación de vulnerabilidades en contratos, filtración de claves privadas y phishing. Cabe destacar que los servidores de Discord fueron atacados con frecuencia, y los usuarios a menudo perdieron dinero al hacer clic en enlaces de phishing.
Análisis de incidentes de seguridad típicos de NFT
evento TreasureDAO
El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada por hackers, lo que resultó en el robo de más de 100 NFT. La vulnerabilidad existía en la función buyItem del contrato TreasureMarketplaceBuyer, que permitía a los atacantes comprar tokens con un monto de pago de ERC-20 de 0 debido a la falta de verificación del tipo de token. Este incidente destacó el problema de confusión lógica causado por la mezcla de tokens ERC-1155 y ERC-721.
evento de airdrop de APE Coin
El 17 de marzo de 2022, un hacker aprovechó un préstamo relámpago para obtener más de 60,000 APE Coin a través de un airdrop. La vulnerabilidad provino del contrato de airdrop de AirdropGrapesToken que utilizaba alpha.balanceOf() y beta.balanceOf() para determinar la propiedad del usuario sobre los NFT de BAYC/MAYC, y este método solo puede obtener un estado instantáneo, lo que facilita la manipulación mediante préstamos relámpago.
Evento de Revest Finance
El 27 de marzo de 2022, Revest Finance fue atacado, perdiendo 120,000 dólares. La vulnerabilidad se encontraba en la función depositAdditionalToFNFT() del contrato de Revest, donde, debido a un problema de reentrada de ERC-1155, el atacante pudo ejecutar múltiples operaciones de acuñación.
evento de aprovechamiento de la NBA
El 21 de abril de 2022, el proyecto de la NBA sufrió un ataque de hackers. El contrato The_Association_Sales presentaba problemas de suplantación y reutilización de firmas al verificar la lista blanca, principalmente debido a que no se almacenaban las firmas utilizadas y faltaba la verificación de msg.sender.
Akutar事件
El 23 de abril de 2022, un fallo en el contrato AkuAuction del proyecto Akutar provocó el bloqueo de 11539 ETH (aproximadamente 34 millones de dólares). Los principales problemas incluyen defectos lógicos en la función de reembolso y la falta de consideración de las pujas múltiples de los usuarios.
evento XCarnival
El 24 de junio de 2022, el protocolo de préstamos NFT XCarnival fue atacado, con una pérdida de aproximadamente 3.8 millones de dólares. La función pledgeAndBorrow del contrato XNFT tenía una vulnerabilidad lógica, ya que no realizó una verificación efectiva de la dirección xToken y del estado del registro de colateral.
Preguntas frecuentes sobre la auditoría de contratos NFT
Suplantación y reutilización de firmas:
Vulnerabilidades lógicas:
Ataques de reentrada ERC721/ERC1155:
El alcance de la autorización es demasiado amplio:
Manipulación de precios:
Estos problemas aparecen con frecuencia en eventos de seguridad reales, lo que destaca la importancia de realizar auditorías de seguridad profesionales en los contratos de NFT. Los equipos de los proyectos deben dar importancia a la seguridad de los contratos, detectar y corregir a tiempo las vulnerabilidades potenciales para prevenir que ocurran eventos similares nuevamente.