Análise de Perguntas Frequentes sobre Auditoria de Contratos NFT e Eventos de Segurança Típicos
No primeiro semestre de 2022, ocorreram uma série de incidentes de segurança no campo dos NFTs, causando enormes perdas econômicas. De acordo com a monitorização de plataformas de dados, durante este período, ocorreram 10 incidentes de segurança significativos relacionados com NFTs, resultando em perdas de cerca de 6.490.000 dólares. As principais formas de ataque incluíram a exploração de vulnerabilidades de contratos, o vazamento de chaves privadas e phishing, entre outras. É importante notar que os servidores do Discord foram frequentemente alvo de ataques, com usuários a perderem frequentemente devido ao clique em links de phishing.
Análise de eventos de segurança típicos de NFT
Evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi atacada por hackers, resultando no roubo de mais de 100 NFTs. A vulnerabilidade estava na função buyItem do contrato TreasureMarketplaceBuyer, que, devido à falta de verificação do tipo de token, permitia que os atacantes comprassem tokens com um valor de pagamento de 0 em tokens ERC-20. Este evento destacou o problema de confusão lógica causado pela mistura de tokens ERC-1155 e ERC-721.
Evento de airdrop do APE Coin
No dia 17 de março de 2022, hackers usaram um empréstimo relâmpago para obter mais de 60 mil APE Coin em airdrop. A vulnerabilidade originou-se do contrato de airdrop do AirdropGrapesToken que utiliza alpha.balanceOf() e beta.balanceOf() para determinar a propriedade do usuário sobre os NFTs BAYC/MAYC, e esse método só pode obter o estado instantâneo, tornando-se suscetível a manipulações por empréstimos relâmpago.
Evento Revest Finance
No dia 27 de março de 2022, a Revest Finance foi atacada, resultando em uma perda de 120.000 dólares. A vulnerabilidade foi encontrada na função depositAdditionalToFNFT() do contrato Revest, onde, devido a um problema de reentrada do ERC-1155, o atacante conseguiu executar a operação de cunhagem várias vezes.
incidente de ganhar dinheiro fácil da NBA
No dia 21 de abril de 2022, o projeto da NBA sofreu um ataque de hackers. O contrato The_Association_Sales apresentava problemas de uso indevido e reutilização de assinaturas ao verificar a lista de permissões, principalmente devido à falta de armazenamento de assinaturas já utilizadas e à falta de verificação do msg.sender.
Evento Akutar
No dia 23 de abril de 2022, uma vulnerabilidade no contrato AkuAuction do projeto Akutar levou ao bloqueio de 11539ETH (cerca de 34 milhões de dólares). Os principais problemas incluíam falhas lógicas na função de reembolso e a não consideração da possibilidade de os usuários fazerem lances múltiplos.
Evento XCarnival
No dia 24 de junho de 2022, o protocolo de empréstimos NFT XCarnival foi atacado, resultando em perdas de cerca de 3,8 milhões de dólares. A função pledgeAndBorrow do contrato XNFT apresentava uma vulnerabilidade lógica, não verificando adequadamente o endereço xToken e o estado do registro de colaterais.
Perguntas Frequentes sobre Auditoria de Contratos NFT
Uso e reutilização de assinaturas:
Falta de validação de execução repetida, permitindo o uso repetido de dados de assinatura para cunhar NFT
A verificação de assinatura não é rigorosa, o que pode permitir que qualquer usuário realize a cunhagem através da verificação.
Falha lógica:
O administrador do contrato pode contornar o limite total para a cunhagem.
Existe o risco de ataque de dependência da ordem de transação durante o processo de leilão.
Ataque de reentrada ERC721/ERC1155:
O uso da funcionalidade de notificação de transferência pode levar a ataques de reentrada
O alcance da autorização é demasiado amplo:
Exigir autorizações excessivas pode levar ao risco de roubo de NFT
Manipulação de preços:
O preço do NFT depende da quantidade de tokens detidos em contratos externos, podendo ser afetado por ataques de empréstimos relâmpago.
Essas questões aparecem com frequência em eventos de segurança reais, destacando a importância de realizar auditorias de segurança profissionais em contratos de NFT. As equipes de projeto devem valorizar a segurança dos contratos, identificando e corrigindo rapidamente potenciais vulnerabilidades para evitar que eventos semelhantes ocorram novamente.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Eventos de segurança de contratos NFT ocorrem frequentemente: Análise de seis casos típicos e pontos focais de auditoria
Análise de Perguntas Frequentes sobre Auditoria de Contratos NFT e Eventos de Segurança Típicos
No primeiro semestre de 2022, ocorreram uma série de incidentes de segurança no campo dos NFTs, causando enormes perdas econômicas. De acordo com a monitorização de plataformas de dados, durante este período, ocorreram 10 incidentes de segurança significativos relacionados com NFTs, resultando em perdas de cerca de 6.490.000 dólares. As principais formas de ataque incluíram a exploração de vulnerabilidades de contratos, o vazamento de chaves privadas e phishing, entre outras. É importante notar que os servidores do Discord foram frequentemente alvo de ataques, com usuários a perderem frequentemente devido ao clique em links de phishing.
Análise de eventos de segurança típicos de NFT
Evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi atacada por hackers, resultando no roubo de mais de 100 NFTs. A vulnerabilidade estava na função buyItem do contrato TreasureMarketplaceBuyer, que, devido à falta de verificação do tipo de token, permitia que os atacantes comprassem tokens com um valor de pagamento de 0 em tokens ERC-20. Este evento destacou o problema de confusão lógica causado pela mistura de tokens ERC-1155 e ERC-721.
Evento de airdrop do APE Coin
No dia 17 de março de 2022, hackers usaram um empréstimo relâmpago para obter mais de 60 mil APE Coin em airdrop. A vulnerabilidade originou-se do contrato de airdrop do AirdropGrapesToken que utiliza alpha.balanceOf() e beta.balanceOf() para determinar a propriedade do usuário sobre os NFTs BAYC/MAYC, e esse método só pode obter o estado instantâneo, tornando-se suscetível a manipulações por empréstimos relâmpago.
Evento Revest Finance
No dia 27 de março de 2022, a Revest Finance foi atacada, resultando em uma perda de 120.000 dólares. A vulnerabilidade foi encontrada na função depositAdditionalToFNFT() do contrato Revest, onde, devido a um problema de reentrada do ERC-1155, o atacante conseguiu executar a operação de cunhagem várias vezes.
incidente de ganhar dinheiro fácil da NBA
No dia 21 de abril de 2022, o projeto da NBA sofreu um ataque de hackers. O contrato The_Association_Sales apresentava problemas de uso indevido e reutilização de assinaturas ao verificar a lista de permissões, principalmente devido à falta de armazenamento de assinaturas já utilizadas e à falta de verificação do msg.sender.
Evento Akutar
No dia 23 de abril de 2022, uma vulnerabilidade no contrato AkuAuction do projeto Akutar levou ao bloqueio de 11539ETH (cerca de 34 milhões de dólares). Os principais problemas incluíam falhas lógicas na função de reembolso e a não consideração da possibilidade de os usuários fazerem lances múltiplos.
Evento XCarnival
No dia 24 de junho de 2022, o protocolo de empréstimos NFT XCarnival foi atacado, resultando em perdas de cerca de 3,8 milhões de dólares. A função pledgeAndBorrow do contrato XNFT apresentava uma vulnerabilidade lógica, não verificando adequadamente o endereço xToken e o estado do registro de colaterais.
Perguntas Frequentes sobre Auditoria de Contratos NFT
Uso e reutilização de assinaturas:
Falha lógica:
Ataque de reentrada ERC721/ERC1155:
O alcance da autorização é demasiado amplo:
Manipulação de preços:
Essas questões aparecem com frequência em eventos de segurança reais, destacando a importância de realizar auditorias de segurança profissionais em contratos de NFT. As equipes de projeto devem valorizar a segurança dos contratos, identificando e corrigindo rapidamente potenciais vulnerabilidades para evitar que eventos semelhantes ocorram novamente.