Analyse des questions fréquentes sur l'audit des contrats NFT et des événements de sécurité typiques
Au cours du premier semestre 2022, le domaine des NFT a connu de fréquents incidents de sécurité, entraînant d'énormes pertes économiques. Selon les données surveillées par les plateformes, 10 incidents majeurs de sécurité liés aux NFT ont eu lieu pendant cette période, avec des pertes d'environ 64,9 millions de dollars. Les méthodes d'attaque comprenaient principalement l'exploitation de vulnérabilités de contrats, la fuite de clés privées et le phishing. Il convient de noter que les serveurs Discord ont été fréquemment attaqués, et les utilisateurs ont souvent perdu de l'argent en cliquant sur des liens de phishing.
Analyse des incidents de sécurité typiques des NFT
événement TreasureDAO
Le 3 mars 2022, la plateforme d'échange TreasureDAO a été victime d'une attaque de hackers, entraînant le vol de plus de 100 NFT. La vulnérabilité se trouvait dans la fonction buyItem du contrat TreasureMarketplaceBuyer, qui, en raison d'un manque de vérification du type de jeton, permettait aux attaquants d'acheter des jetons lorsque le montant payé en jetons ERC-20 était de 0. Cet événement met en lumière le problème de confusion logique résultant de l'utilisation mixte des jetons ERC-1155 et ERC-721.
Événement d'airdrop APE Coin
Le 17 mars 2022, des hackers ont utilisé un prêt éclair pour obtenir plus de 60 000 APE Coin en airdrop. La vulnérabilité provenait du contrat d'airdrop AirdropGrapesToken qui utilisait alpha.balanceOf() et beta.balanceOf() pour déterminer la propriété des NFT BAYC/MAYC par les utilisateurs, et cette méthode ne pouvait obtenir qu'un état instantané, facilement manipulable par des prêts éclair.
Événement Revest Finance
Le 27 mars 2022, Revest Finance a subi une attaque, entraînant une perte de 120 000 $. La vulnérabilité se trouvait dans la fonction depositAdditionalToFNFT() du contrat Revest, où, en raison d'un problème de réentrance ERC-1155, l'attaquant a pu exécuter plusieurs fois l'opération de mint.
événement NBA de profiter
Le 21 avril 2022, le projet NBA a été victime d'une attaque de hackers. Le contrat The_Association_Sales présentait des problèmes de contrefaçon et de réutilisation de signatures lors de la vérification de la liste blanche, principalement en raison de l'absence de stockage des signatures utilisées et du manque de vérification du msg.sender.
Akutar événement
Le 23 avril 2022, une vulnérabilité dans le contrat AkuAuction du projet Akutar a entraîné le blocage de 11539 ETH (environ 34 millions de dollars). Les principaux problèmes incluent un défaut de logique dans la fonction de remboursement et le fait que les offres multiples des utilisateurs n'ont pas été prises en compte.
événement XCarnival
Le 24 juin 2022, le protocole de prêt NFT XCarnival a été attaqué, entraînant une perte d'environ 3,8 millions de dollars. La fonction pledgeAndBorrow du contrat XNFT présente une vulnérabilité logicielle qui n'effectue pas de vérification efficace de l'adresse xToken et de l'état des enregistrements de garantie.
Questions fréquentes sur l'audit des contrats NFT
Usurpation et réutilisation de signature :
Manque de validation d'exécution répétée, permettant la réutilisation des données de signature pour frapper des NFT
La vérification des signatures n'est pas stricte, ce qui peut permettre à n'importe quel utilisateur de procéder à la frappe de pièces.
Vulnérabilité logique :
L'administrateur du contrat peut contourner la limite de quantité pour frapper des pièces.
Il existe un risque d'attaque par dépendance d'ordre de transaction pendant le processus d'enchère.
Attaque par réentrance ERC721/ERC1155 :
L'utilisation de la fonction de notification de transfert peut entraîner des attaques par réinjection.
Portée de l'autorisation trop large :
Une demande de sur-autorisation peut entraîner un risque de vol de NFT.
Manipulation des prix :
Le prix des NFT dépend de la quantité de jetons détenus dans des contrats externes, et peut être affecté par des attaques de prêt éclair.
Ces problèmes apparaissent fréquemment dans des événements de sécurité réels, soulignant l'importance d'un audit de sécurité professionnel des contrats NFT. Les équipes de projet doivent accorder de l'importance à la sécurité des contrats, détecter et corriger rapidement les vulnérabilités potentielles pour éviter que des événements similaires ne se reproduisent.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Les événements de sécurité des contrats NFT se multiplient : analyse de six cas typiques et points d'audit essentiels.
Analyse des questions fréquentes sur l'audit des contrats NFT et des événements de sécurité typiques
Au cours du premier semestre 2022, le domaine des NFT a connu de fréquents incidents de sécurité, entraînant d'énormes pertes économiques. Selon les données surveillées par les plateformes, 10 incidents majeurs de sécurité liés aux NFT ont eu lieu pendant cette période, avec des pertes d'environ 64,9 millions de dollars. Les méthodes d'attaque comprenaient principalement l'exploitation de vulnérabilités de contrats, la fuite de clés privées et le phishing. Il convient de noter que les serveurs Discord ont été fréquemment attaqués, et les utilisateurs ont souvent perdu de l'argent en cliquant sur des liens de phishing.
Analyse des incidents de sécurité typiques des NFT
événement TreasureDAO
Le 3 mars 2022, la plateforme d'échange TreasureDAO a été victime d'une attaque de hackers, entraînant le vol de plus de 100 NFT. La vulnérabilité se trouvait dans la fonction buyItem du contrat TreasureMarketplaceBuyer, qui, en raison d'un manque de vérification du type de jeton, permettait aux attaquants d'acheter des jetons lorsque le montant payé en jetons ERC-20 était de 0. Cet événement met en lumière le problème de confusion logique résultant de l'utilisation mixte des jetons ERC-1155 et ERC-721.
Événement d'airdrop APE Coin
Le 17 mars 2022, des hackers ont utilisé un prêt éclair pour obtenir plus de 60 000 APE Coin en airdrop. La vulnérabilité provenait du contrat d'airdrop AirdropGrapesToken qui utilisait alpha.balanceOf() et beta.balanceOf() pour déterminer la propriété des NFT BAYC/MAYC par les utilisateurs, et cette méthode ne pouvait obtenir qu'un état instantané, facilement manipulable par des prêts éclair.
Événement Revest Finance
Le 27 mars 2022, Revest Finance a subi une attaque, entraînant une perte de 120 000 $. La vulnérabilité se trouvait dans la fonction depositAdditionalToFNFT() du contrat Revest, où, en raison d'un problème de réentrance ERC-1155, l'attaquant a pu exécuter plusieurs fois l'opération de mint.
événement NBA de profiter
Le 21 avril 2022, le projet NBA a été victime d'une attaque de hackers. Le contrat The_Association_Sales présentait des problèmes de contrefaçon et de réutilisation de signatures lors de la vérification de la liste blanche, principalement en raison de l'absence de stockage des signatures utilisées et du manque de vérification du msg.sender.
Akutar événement
Le 23 avril 2022, une vulnérabilité dans le contrat AkuAuction du projet Akutar a entraîné le blocage de 11539 ETH (environ 34 millions de dollars). Les principaux problèmes incluent un défaut de logique dans la fonction de remboursement et le fait que les offres multiples des utilisateurs n'ont pas été prises en compte.
événement XCarnival
Le 24 juin 2022, le protocole de prêt NFT XCarnival a été attaqué, entraînant une perte d'environ 3,8 millions de dollars. La fonction pledgeAndBorrow du contrat XNFT présente une vulnérabilité logicielle qui n'effectue pas de vérification efficace de l'adresse xToken et de l'état des enregistrements de garantie.
Questions fréquentes sur l'audit des contrats NFT
Usurpation et réutilisation de signature :
Vulnérabilité logique :
Attaque par réentrance ERC721/ERC1155 :
Portée de l'autorisation trop large :
Manipulation des prix :
Ces problèmes apparaissent fréquemment dans des événements de sécurité réels, soulignant l'importance d'un audit de sécurité professionnel des contrats NFT. Les équipes de projet doivent accorder de l'importance à la sécurité des contrats, détecter et corriger rapidement les vulnérabilités potentielles pour éviter que des événements similaires ne se reproduisent.