Seguridad de contratos NFT: Revisión de eventos del primer semestre de 2022 y puntos clave de auditoría
En la primera mitad de 2022, los incidentes de seguridad en el ámbito de NFT fueron frecuentes, causando enormes pérdidas. Según el monitoreo de plataformas de datos, en estos seis meses ocurrieron 10 incidentes de seguridad NFT importantes, con pérdidas totales de aproximadamente 64.9 millones de dólares. Las formas de ataque incluyeron principalmente la explotación de vulnerabilidades de contratos, la filtración de claves privadas y el phishing, entre otros. Entre ellos, los servidores de Discord fueron atacados con frecuencia, y los usuarios sufrieron pérdidas significativas al hacer clic en enlaces de phishing.
Análisis de incidentes de seguridad típicos
evento TreasureDAO
El 3 de marzo, la plataforma de intercambio TreasureDAO fue atacada por hackers, y más de 100 NFT fueron robados. La razón es que el contrato tenía una vulnerabilidad lógica, y la mezcla de tokens ERC-1155 y ERC-721 provocó errores de valoración, lo que permitió a los atacantes comprar NFT sin costo alguno. Esto destaca los riesgos de mezclar diferentes estándares de tokens.
evento de airdrop de APE Coin
El 17 de marzo, un hacker utilizó un préstamo relámpago para obtener más de 60,000 APE Coin en airdrop. La vulnerabilidad radica en que el contrato del airdrop solo verifica el estado de posesión instantánea de NFT del llamador, sin considerar que un préstamo relámpago puede manipular ese estado. Esto nos recuerda que debemos diseñar con precaución los mecanismos de airdrop.
Evento de Revest Finance
El 27 de marzo, Revest Finance sufrió un ataque y perdió 120,000 dólares. La razón es que existe una vulnerabilidad de reentrada en el contrato ERC-1155, lo que permite al atacante ejecutar repetidamente la operación de acuñación. Esto demuestra una vez más los riesgos de seguridad del estándar ERC-1155.
evento del proyecto NBA
El 21 de abril, el proyecto de la NBA sufrió un ataque. Durante la verificación de la lista blanca del contrato, hubo problemas de suplantación y reutilización de firmas, ya que no se registraron ni verificaron las firmas que se habían utilizado anteriormente. Esto expuso la vulnerabilidad del mecanismo de verificación de firmas.
Evento Akutar
El 23 de abril, el proyecto Akutar bloqueó 11,500 ETH(, aproximadamente 34 millones de dólares), debido a una vulnerabilidad en el contrato. La principal razón fue un error en la lógica de la función de reembolso, que no consideró la situación de las ofertas múltiples de los usuarios. Esto resalta la importancia de las pruebas exhaustivas.
evento XCarnival
El 24 de junio, XCarnival fue atacado y perdió 3087 ETH(, aproximadamente 3.8 millones de dólares). La vulnerabilidad radica en un error en la lógica de staking y préstamos, no se validaron las direcciones de xToken ni el estado de los registros de colateral. Esto indica que las plataformas de préstamos de NFT enfrentan desafíos de seguridad únicos.
Preguntas frecuentes sobre la auditoría de contratos NFT
Suplantación y reutilización de firmas: falta de verificación de nonce, verificación de firmas poco estricta, etc.
Vulnerabilidades lógicas: falla en el control del total de monedas emitidas, vulnerabilidades en las subastas, etc.
Ataque de reentrada ERC721/ERC1155: la función de notificación de transferencia puede provocar una reentrada.
Alcance de autorización demasiado amplio: la autorización global innecesaria aumenta el riesgo.
Manipulación de precios: Dependencia del estado de contratos externos que puede ser vulnerable a ataques de préstamos relámpago.
Estos problemas son comunes en ataques reales, lo que destaca la necesidad de una auditoría de seguridad profesional. Los proyectos de NFT deben dar importancia a la seguridad de los contratos, evaluando de manera integral los riesgos potenciales para prevenir problemas antes de que ocurran.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Revisión de los diez principales incidentes de seguridad de NFT en la primera mitad de 2022, con pérdidas cercanas a 65 millones de dólares.
Seguridad de contratos NFT: Revisión de eventos del primer semestre de 2022 y puntos clave de auditoría
En la primera mitad de 2022, los incidentes de seguridad en el ámbito de NFT fueron frecuentes, causando enormes pérdidas. Según el monitoreo de plataformas de datos, en estos seis meses ocurrieron 10 incidentes de seguridad NFT importantes, con pérdidas totales de aproximadamente 64.9 millones de dólares. Las formas de ataque incluyeron principalmente la explotación de vulnerabilidades de contratos, la filtración de claves privadas y el phishing, entre otros. Entre ellos, los servidores de Discord fueron atacados con frecuencia, y los usuarios sufrieron pérdidas significativas al hacer clic en enlaces de phishing.
Análisis de incidentes de seguridad típicos
evento TreasureDAO
El 3 de marzo, la plataforma de intercambio TreasureDAO fue atacada por hackers, y más de 100 NFT fueron robados. La razón es que el contrato tenía una vulnerabilidad lógica, y la mezcla de tokens ERC-1155 y ERC-721 provocó errores de valoración, lo que permitió a los atacantes comprar NFT sin costo alguno. Esto destaca los riesgos de mezclar diferentes estándares de tokens.
evento de airdrop de APE Coin
El 17 de marzo, un hacker utilizó un préstamo relámpago para obtener más de 60,000 APE Coin en airdrop. La vulnerabilidad radica en que el contrato del airdrop solo verifica el estado de posesión instantánea de NFT del llamador, sin considerar que un préstamo relámpago puede manipular ese estado. Esto nos recuerda que debemos diseñar con precaución los mecanismos de airdrop.
Evento de Revest Finance
El 27 de marzo, Revest Finance sufrió un ataque y perdió 120,000 dólares. La razón es que existe una vulnerabilidad de reentrada en el contrato ERC-1155, lo que permite al atacante ejecutar repetidamente la operación de acuñación. Esto demuestra una vez más los riesgos de seguridad del estándar ERC-1155.
evento del proyecto NBA
El 21 de abril, el proyecto de la NBA sufrió un ataque. Durante la verificación de la lista blanca del contrato, hubo problemas de suplantación y reutilización de firmas, ya que no se registraron ni verificaron las firmas que se habían utilizado anteriormente. Esto expuso la vulnerabilidad del mecanismo de verificación de firmas.
Evento Akutar
El 23 de abril, el proyecto Akutar bloqueó 11,500 ETH(, aproximadamente 34 millones de dólares), debido a una vulnerabilidad en el contrato. La principal razón fue un error en la lógica de la función de reembolso, que no consideró la situación de las ofertas múltiples de los usuarios. Esto resalta la importancia de las pruebas exhaustivas.
evento XCarnival
El 24 de junio, XCarnival fue atacado y perdió 3087 ETH(, aproximadamente 3.8 millones de dólares). La vulnerabilidad radica en un error en la lógica de staking y préstamos, no se validaron las direcciones de xToken ni el estado de los registros de colateral. Esto indica que las plataformas de préstamos de NFT enfrentan desafíos de seguridad únicos.
Preguntas frecuentes sobre la auditoría de contratos NFT
Suplantación y reutilización de firmas: falta de verificación de nonce, verificación de firmas poco estricta, etc.
Vulnerabilidades lógicas: falla en el control del total de monedas emitidas, vulnerabilidades en las subastas, etc.
Ataque de reentrada ERC721/ERC1155: la función de notificación de transferencia puede provocar una reentrada.
Alcance de autorización demasiado amplio: la autorización global innecesaria aumenta el riesgo.
Manipulación de precios: Dependencia del estado de contratos externos que puede ser vulnerable a ataques de préstamos relámpago.
Estos problemas son comunes en ataques reales, lo que destaca la necesidad de una auditoría de seguridad profesional. Los proyectos de NFT deben dar importancia a la seguridad de los contratos, evaluando de manera integral los riesgos potenciales para prevenir problemas antes de que ocurran.