Segurança de Contratos NFT: Revisão de Eventos do Primeiro Semestre de 2022 e Pontos de Auditoria
No primeiro semestre de 2022, ocorreram frequentes eventos de segurança no campo dos NFT, resultando em enormes perdas. De acordo com a monitorização da plataforma de dados, ocorreram 10 eventos de segurança significativos relacionados a NFT neste semestre, com uma perda total de aproximadamente 64,9 milhões de dólares. As principais formas de ataque incluem a exploração de vulnerabilidades de contratos, o vazamento de chaves privadas e phishing. Entre eles, os servidores do Discord foram frequentemente atacados, e os usuários sofreram perdas significativas ao clicar em links de phishing.
Análise de Eventos de Segurança Típicos
evento TreasureDAO
No dia 3 de março, a plataforma de negociação TreasureDAO foi atacada por hackers, resultando no roubo de mais de 100 NFTs. A razão foi uma vulnerabilidade lógica no contrato, onde a mistura de tokens ERC-1155 e ERC-721 causou erros de avaliação, permitindo que os atacantes comprassem NFTs a custo zero. Isso destaca os riscos associados à mistura de diferentes padrões de tokens.
Evento de airdrop do APE Coin
No dia 17 de março, hackers utilizaram um empréstimo relâmpago para obter mais de 60 mil APE Coin em airdrop. A vulnerabilidade reside no fato de que o contrato de airdrop apenas verifica o estado de posse instantâneo de NFTs do chamador, sem considerar que o empréstimo relâmpago pode manipular esse estado. Isso nos lembra de projetar cuidadosamente os mecanismos de airdrop.
Evento Revest Finance
No dia 27 de março, a Revest Finance sofreu um ataque que resultou em uma perda de 120 mil dólares. A razão foi a existência de uma vulnerabilidade de reentrada no contrato ERC-1155, permitindo que o atacante executasse repetidamente a operação de cunhagem. Isso prova mais uma vez os riscos de segurança associados ao padrão ERC-1155.
evento do projeto NBA
No dia 21 de abril, o projeto da NBA sofreu um ataque. Durante a verificação da lista branca do contrato, houve problemas de uso indevido e reutilização de assinaturas, não sendo registradas nem verificadas as assinaturas já utilizadas. Isso expôs a vulnerabilidade do mecanismo de verificação de assinaturas.
Evento Akutar
No dia 23 de abril, o projeto Akutar teve 11.5 mil ETH(, cerca de 3.4 milhões de dólares), bloqueados devido a uma vulnerabilidade no contrato. A principal razão foi um erro de lógica na função de reembolso, que não considerou o caso de múltiplas propostas por parte dos usuários. Isso destaca a importância de testes abrangentes.
evento XCarnival
No dia 24 de junho, o XCarnival foi atacado, resultando em uma perda de 3087 ETH(, cerca de 380 mil dólares). A vulnerabilidade estava na lógica de staking e empréstimo incorreta, sem a validação do endereço xToken e do estado do registro de colateral. Isso indica que a plataforma de empréstimo NFT enfrenta desafios de segurança únicos.
Perguntas Frequentes sobre Auditoria de Contratos NFT
Uso indevido e reutilização de assinaturas: falta de verificação de nonce, verificação de assinaturas não rigorosa, etc.
Vulnerabilidades lógicas: falha no controle da quantidade total de moedas, vulnerabilidades em leilões, etc.
Ataque de reentrada ERC721/ERC1155: A funcionalidade de notificação de transferência pode levar a reentradas.
O alcance da autorização é demasiado amplo: autorizações globais desnecessárias aumentam o risco.
Manipulação de preços: depende do estado de contratos externos, o que pode ser facilmente atacado por empréstimos relâmpago.
Esses problemas são comuns em ataques reais, destacando a necessidade de auditorias de segurança profissionais. As equipes de projetos NFT devem dar atenção à segurança dos contratos, avaliando de forma abrangente os riscos potenciais para prevenir problemas antes que eles ocorram.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
11 Curtidas
Recompensa
11
4
Compartilhar
Comentário
0/400
GasFeeSobber
· 08-02 14:52
Este dinheiro não se sabe quem ganhou. Fugiu, fugiu.
Ver originalResponder0
Whale_Whisperer
· 08-02 14:49
Metade do dinheiro foi para o ralo.
Ver originalResponder0
MetaMisfit
· 08-02 14:48
idiotas坑完坑完 继续 fazer as pessoas de parvas
Ver originalResponder0
SilentAlpha
· 08-02 14:41
A indústria ainda precisa de mais uma onda de colapsos.
Revisão dos dez principais incidentes de segurança de NFTs no primeiro semestre de 2022, com perdas de quase 65 milhões de dólares.
Segurança de Contratos NFT: Revisão de Eventos do Primeiro Semestre de 2022 e Pontos de Auditoria
No primeiro semestre de 2022, ocorreram frequentes eventos de segurança no campo dos NFT, resultando em enormes perdas. De acordo com a monitorização da plataforma de dados, ocorreram 10 eventos de segurança significativos relacionados a NFT neste semestre, com uma perda total de aproximadamente 64,9 milhões de dólares. As principais formas de ataque incluem a exploração de vulnerabilidades de contratos, o vazamento de chaves privadas e phishing. Entre eles, os servidores do Discord foram frequentemente atacados, e os usuários sofreram perdas significativas ao clicar em links de phishing.
Análise de Eventos de Segurança Típicos
evento TreasureDAO
No dia 3 de março, a plataforma de negociação TreasureDAO foi atacada por hackers, resultando no roubo de mais de 100 NFTs. A razão foi uma vulnerabilidade lógica no contrato, onde a mistura de tokens ERC-1155 e ERC-721 causou erros de avaliação, permitindo que os atacantes comprassem NFTs a custo zero. Isso destaca os riscos associados à mistura de diferentes padrões de tokens.
Evento de airdrop do APE Coin
No dia 17 de março, hackers utilizaram um empréstimo relâmpago para obter mais de 60 mil APE Coin em airdrop. A vulnerabilidade reside no fato de que o contrato de airdrop apenas verifica o estado de posse instantâneo de NFTs do chamador, sem considerar que o empréstimo relâmpago pode manipular esse estado. Isso nos lembra de projetar cuidadosamente os mecanismos de airdrop.
Evento Revest Finance
No dia 27 de março, a Revest Finance sofreu um ataque que resultou em uma perda de 120 mil dólares. A razão foi a existência de uma vulnerabilidade de reentrada no contrato ERC-1155, permitindo que o atacante executasse repetidamente a operação de cunhagem. Isso prova mais uma vez os riscos de segurança associados ao padrão ERC-1155.
evento do projeto NBA
No dia 21 de abril, o projeto da NBA sofreu um ataque. Durante a verificação da lista branca do contrato, houve problemas de uso indevido e reutilização de assinaturas, não sendo registradas nem verificadas as assinaturas já utilizadas. Isso expôs a vulnerabilidade do mecanismo de verificação de assinaturas.
Evento Akutar
No dia 23 de abril, o projeto Akutar teve 11.5 mil ETH(, cerca de 3.4 milhões de dólares), bloqueados devido a uma vulnerabilidade no contrato. A principal razão foi um erro de lógica na função de reembolso, que não considerou o caso de múltiplas propostas por parte dos usuários. Isso destaca a importância de testes abrangentes.
evento XCarnival
No dia 24 de junho, o XCarnival foi atacado, resultando em uma perda de 3087 ETH(, cerca de 380 mil dólares). A vulnerabilidade estava na lógica de staking e empréstimo incorreta, sem a validação do endereço xToken e do estado do registro de colateral. Isso indica que a plataforma de empréstimo NFT enfrenta desafios de segurança únicos.
Perguntas Frequentes sobre Auditoria de Contratos NFT
Uso indevido e reutilização de assinaturas: falta de verificação de nonce, verificação de assinaturas não rigorosa, etc.
Vulnerabilidades lógicas: falha no controle da quantidade total de moedas, vulnerabilidades em leilões, etc.
Ataque de reentrada ERC721/ERC1155: A funcionalidade de notificação de transferência pode levar a reentradas.
O alcance da autorização é demasiado amplo: autorizações globais desnecessárias aumentam o risco.
Manipulação de preços: depende do estado de contratos externos, o que pode ser facilmente atacado por empréstimos relâmpago.
Esses problemas são comuns em ataques reais, destacando a necessidade de auditorias de segurança profissionais. As equipes de projetos NFT devem dar atenção à segurança dos contratos, avaliando de forma abrangente os riscos potenciais para prevenir problemas antes que eles ocorram.