Sécurité des contrats NFT : Revue des événements du premier semestre 2022 et points d'audit
Au cours du premier semestre 2022, des incidents de sécurité dans le domaine des NFT se sont multipliés, entraînant d'énormes pertes. Selon les données d'une plateforme de surveillance, dix incidents majeurs de sécurité liés aux NFT se sont produits au cours de ce semestre, avec une perte totale d'environ 64,9 millions de dollars. Les méthodes d'attaque comprenaient principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing. Parmi eux, les serveurs Discord ont été fréquemment attaqués, et les utilisateurs ont subi de lourdes pertes en cliquant sur des liens de phishing.
Analyse des événements de sécurité typiques
événement TreasureDAO
Le 3 mars, la plateforme d'échange TreasureDAO a été victime d'une attaque de hacker, entraînant le vol de plus de 100 NFT. La cause est un bug logique dans le contrat, provoqué par l'utilisation mixte de jetons ERC-1155 et ERC-721, ce qui a conduit à des erreurs de tarification, permettant aux attaquants d'acheter des NFT à coût nul. Cela met en évidence les risques liés à l'utilisation mixte de différents standards de jetons.
Événement d'airdrop APE Coin
Le 17 mars, des hackers ont utilisé un prêt flash pour obtenir plus de 60 000 APE Coin en airdrop. La faille réside dans le fait que le contrat d'airdrop ne vérifie que l'état de possession d'NFT de l'appelant à un instant donné, sans tenir compte du fait que les prêts flash peuvent manipuler cet état. Cela nous rappelle de concevoir avec prudence les mécanismes d'airdrop.
Événement Revest Finance
Le 27 mars, Revest Finance a subi une attaque entraînant une perte de 120 000 dollars. La raison en est la présence d'une vulnérabilité de réentrance dans le contrat ERC-1155, permettant à l'attaquant d'exécuter de manière répétée l'opération de minting. Cela prouve une fois de plus les risques de sécurité liés à la norme ERC-1155.
événement du projet NBA
Le 21 avril, le projet NBA a subi une attaque. Il y avait des problèmes de contrefaçon et de réutilisation des signatures lors de la vérification sur liste blanche, sans enregistrement ni vérification des signatures déjà utilisées. Cela a révélé la vulnérabilité du mécanisme de vérification des signatures.
événement Akutar
Le 23 avril, le projet Akutar a entraîné le verrouillage de 11 500 ETH(, soit environ 34 millions de dollars), en raison d'une vulnérabilité dans le contrat. La principale raison est une erreur de logique dans la fonction de remboursement, qui n'a pas pris en compte les cas de multiples enchères par les utilisateurs. Cela souligne l'importance des tests complets.
Événement XCarnival
Le 24 juin, XCarnival a subi une attaque entraînant une perte de 3087 ETH( d'environ 3,8 millions de dollars). La vulnérabilité réside dans une erreur de logique de staking et de prêt, n'ayant pas vérifié l'adresse xToken et l'état des enregistrements de garantie. Cela indique que les plateformes de prêt NFT font face à des défis de sécurité uniques.
Questions fréquentes sur l'audit des contrats NFT
Usurpation et réutilisation de signatures : absence de vérification de nonce, contrôle des signatures pas assez strict, etc.
Vulnérabilités logiques : défaillance du contrôle de la quantité totale de pièces, vulnérabilités d'enchères, etc.
Attaque de réentrance ERC721/ERC1155 : la fonction de notification de transfert peut entraîner une réentrance.
Portée de l'autorisation trop large : des autorisations globales inutiles augmentent les risques.
Manipulation des prix : la dépendance à l'état des contrats externes peut être facilement attaquée par des prêts flash.
Ces problèmes sont courants lors des attaques réelles, soulignant la nécessité d'audits de sécurité professionnels. Les équipes de projets NFT doivent accorder une importance à la sécurité des contrats, évaluer pleinement les risques potentiels pour prévenir les problèmes.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
11 J'aime
Récompense
11
4
Partager
Commentaire
0/400
GasFeeSobber
· 08-02 14:52
Cet argent, on ne sait pas qui l'a gagné, il s'est éclipsé.
Voir l'originalRépondre0
Whale_Whisperer
· 08-02 14:49
La moitié des fonds a été perdue.
Voir l'originalRépondre0
MetaMisfit
· 08-02 14:48
pigeons坑完坑完 continuer à prendre les gens pour des idiots
Voir l'originalRépondre0
SilentAlpha
· 08-02 14:41
L'industrie doit encore subir une vague de défaillances.
Revue des dix principaux événements de sécurité NFT du premier semestre 2022, avec des pertes de près de 65 millions de dollars.
Sécurité des contrats NFT : Revue des événements du premier semestre 2022 et points d'audit
Au cours du premier semestre 2022, des incidents de sécurité dans le domaine des NFT se sont multipliés, entraînant d'énormes pertes. Selon les données d'une plateforme de surveillance, dix incidents majeurs de sécurité liés aux NFT se sont produits au cours de ce semestre, avec une perte totale d'environ 64,9 millions de dollars. Les méthodes d'attaque comprenaient principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing. Parmi eux, les serveurs Discord ont été fréquemment attaqués, et les utilisateurs ont subi de lourdes pertes en cliquant sur des liens de phishing.
Analyse des événements de sécurité typiques
événement TreasureDAO
Le 3 mars, la plateforme d'échange TreasureDAO a été victime d'une attaque de hacker, entraînant le vol de plus de 100 NFT. La cause est un bug logique dans le contrat, provoqué par l'utilisation mixte de jetons ERC-1155 et ERC-721, ce qui a conduit à des erreurs de tarification, permettant aux attaquants d'acheter des NFT à coût nul. Cela met en évidence les risques liés à l'utilisation mixte de différents standards de jetons.
Événement d'airdrop APE Coin
Le 17 mars, des hackers ont utilisé un prêt flash pour obtenir plus de 60 000 APE Coin en airdrop. La faille réside dans le fait que le contrat d'airdrop ne vérifie que l'état de possession d'NFT de l'appelant à un instant donné, sans tenir compte du fait que les prêts flash peuvent manipuler cet état. Cela nous rappelle de concevoir avec prudence les mécanismes d'airdrop.
Événement Revest Finance
Le 27 mars, Revest Finance a subi une attaque entraînant une perte de 120 000 dollars. La raison en est la présence d'une vulnérabilité de réentrance dans le contrat ERC-1155, permettant à l'attaquant d'exécuter de manière répétée l'opération de minting. Cela prouve une fois de plus les risques de sécurité liés à la norme ERC-1155.
événement du projet NBA
Le 21 avril, le projet NBA a subi une attaque. Il y avait des problèmes de contrefaçon et de réutilisation des signatures lors de la vérification sur liste blanche, sans enregistrement ni vérification des signatures déjà utilisées. Cela a révélé la vulnérabilité du mécanisme de vérification des signatures.
événement Akutar
Le 23 avril, le projet Akutar a entraîné le verrouillage de 11 500 ETH(, soit environ 34 millions de dollars), en raison d'une vulnérabilité dans le contrat. La principale raison est une erreur de logique dans la fonction de remboursement, qui n'a pas pris en compte les cas de multiples enchères par les utilisateurs. Cela souligne l'importance des tests complets.
Événement XCarnival
Le 24 juin, XCarnival a subi une attaque entraînant une perte de 3087 ETH( d'environ 3,8 millions de dollars). La vulnérabilité réside dans une erreur de logique de staking et de prêt, n'ayant pas vérifié l'adresse xToken et l'état des enregistrements de garantie. Cela indique que les plateformes de prêt NFT font face à des défis de sécurité uniques.
Questions fréquentes sur l'audit des contrats NFT
Usurpation et réutilisation de signatures : absence de vérification de nonce, contrôle des signatures pas assez strict, etc.
Vulnérabilités logiques : défaillance du contrôle de la quantité totale de pièces, vulnérabilités d'enchères, etc.
Attaque de réentrance ERC721/ERC1155 : la fonction de notification de transfert peut entraîner une réentrance.
Portée de l'autorisation trop large : des autorisations globales inutiles augmentent les risques.
Manipulation des prix : la dépendance à l'état des contrats externes peut être facilement attaquée par des prêts flash.
Ces problèmes sont courants lors des attaques réelles, soulignant la nécessité d'audits de sécurité professionnels. Les équipes de projets NFT doivent accorder une importance à la sécurité des contrats, évaluer pleinement les risques potentiels pour prévenir les problèmes.