Seguridad de contratos NFT: análisis de eventos del primer semestre de 2022 y discusión de preguntas frecuentes
En la primera mitad de 2022, se produjeron frecuentes incidentes de seguridad en el ámbito de NFT, causando enormes pérdidas. Este artículo realizará un análisis profundo de la situación de seguridad de los contratos NFT durante este período, explorando casos típicos y problemas comunes.
Resumen de los incidentes de seguridad de NFT en la primera mitad del año
Según los datos de monitoreo de seguridad de blockchain, en la primera mitad de 2022 ocurrieron 10 incidentes importantes de seguridad de NFT, con pérdidas acumuladas de aproximadamente 6490 millones de dólares. Los principales métodos de ataque incluyen la explotación de vulnerabilidades en contratos, la filtración de claves privadas y el phishing, entre otros. Es notable que los ataques de phishing en la plataforma Discord son especialmente rampantes, casi todos los días hay usuarios que sufren pérdidas por ello.
Análisis de incidentes de seguridad típicos
evento TreasureDAO
El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada por hackers, y más de 100 NFT fueron robados.
Causa de la vulnerabilidad: lógica del contrato confusa. La función buyItem del contrato TreasureMarketplaceBuyer no verifica el tipo de token, lo que permite comprar NFT cuando el pago en tokens ERC-20 es 0. Esto se debe a la mezcla de tokens ERC-1155 y ERC-721, y a que no se ha tratado de manera especial el ERC-721, que no tiene un concepto de cantidad.
evento de airdrop de APE Coin
El 17 de marzo de 2022, un hacker obtuvo más de 60,000 APE Coin a través de un préstamo relámpago.
Causa de la vulnerabilidad: defecto lógico del contrato. El contrato de airdrop solo determina la propiedad del usuario sobre el NFT a través de balanceOf(), lo que solo puede obtener el estado instantáneo, y puede ser manipulado por préstamos relámpago.
Evento de Revest Finance
El 27 de marzo de 2022, Revest Finance fue atacado por hackers, con una pérdida de 120,000 dólares.
Causa de la vulnerabilidad: ataque de reentrada ERC-1155. El contrato de Revest tiene una vulnerabilidad de reentrada al agregar activos colateralizados FNFT, derivada de una llamada externa en la función de acuñación.
evento de aprovecharse de la NBA
El 21 de abril de 2022, el proyecto de la NBA fue atacado por hackers.
Causa de la vulnerabilidad: defecto en la verificación de firmas. El contrato The_Association_Sales presenta problemas de suplantación y reutilización de firmas durante la verificación de la lista blanca.
evento Akutar
El 23 de abril de 2022, una vulnerabilidad en el contrato AkuAuction del proyecto Akutar provocó el bloqueo de 11,000 ETH.
Causa del fallo: defecto en la lógica de reembolso. La función de reembolso presenta un riesgo de ser bloqueada maliciosamente y no considera la situación de múltiples ofertas por parte del usuario, lo que impide que se ejecute el reembolso.
evento XCarnival
El 24 de junio de 2022, XCarnival fue atacado y perdió 3.8 millones de dólares.
Causa de la vulnerabilidad: verificación insuficiente de los registros de garantía. El contrato XNFT no realizó suficientes comprobaciones al momento de hacer staking y préstamos, lo que permitió la reutilización de registros de garantía inválidos.
Problemas de seguridad comunes en contratos NFT
Problemas de verificación de firma: falta de verificación de ejecución repetida, la verificación de firma no es estricta.
Vulnerabilidad lógica: restricciones de acuñación inadecuadas, el proceso de subasta tiene fallos.
Ataques de reentrada ERC721/ERC1155: la función de notificación de transferencia puede causar reentrada.
Autorización excesiva: solicita autorización global pero en realidad solo necesita autorización de un solo token.
Manipulación de precios: los precios dependen de factores que pueden ser manipulados por préstamos relámpago.
En resumen, los problemas de seguridad de los contratos NFT son complejos y diversos, por lo que las auditorías profesionales son especialmente importantes. Los proyectos deben dar importancia a la seguridad de los contratos, evaluar a fondo los riesgos potenciales y garantizar la seguridad de los activos de los usuarios.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
22 me gusta
Recompensa
22
7
Compartir
Comentar
0/400
BackrowObserver
· 07-05 13:17
Esta vez han tomado a la gente por tonta de verdad.
Ver originalesResponder0
TokenVelocityTrauma
· 07-05 09:51
Otra vez toman a la gente por tonta.
Ver originalesResponder0
SmartContractRebel
· 07-02 15:48
¿No se hace ninguna auditoría de este contrato? Despierta.
Ver originalesResponder0
metaverse_hermit
· 07-02 15:41
¿Cuánto fue robado? Tengo hambre.
Ver originalesResponder0
MetaverseLandlord
· 07-02 15:41
Qué delicioso. Los tontos son bienvenidos a tomar a la gente por tonta~
Análisis de seguridad de contratos NFT: discusión sobre eventos típicos y vulnerabilidades comunes en la primera mitad de 2022
Seguridad de contratos NFT: análisis de eventos del primer semestre de 2022 y discusión de preguntas frecuentes
En la primera mitad de 2022, se produjeron frecuentes incidentes de seguridad en el ámbito de NFT, causando enormes pérdidas. Este artículo realizará un análisis profundo de la situación de seguridad de los contratos NFT durante este período, explorando casos típicos y problemas comunes.
Resumen de los incidentes de seguridad de NFT en la primera mitad del año
Según los datos de monitoreo de seguridad de blockchain, en la primera mitad de 2022 ocurrieron 10 incidentes importantes de seguridad de NFT, con pérdidas acumuladas de aproximadamente 6490 millones de dólares. Los principales métodos de ataque incluyen la explotación de vulnerabilidades en contratos, la filtración de claves privadas y el phishing, entre otros. Es notable que los ataques de phishing en la plataforma Discord son especialmente rampantes, casi todos los días hay usuarios que sufren pérdidas por ello.
Análisis de incidentes de seguridad típicos
evento TreasureDAO
El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada por hackers, y más de 100 NFT fueron robados.
Causa de la vulnerabilidad: lógica del contrato confusa. La función buyItem del contrato TreasureMarketplaceBuyer no verifica el tipo de token, lo que permite comprar NFT cuando el pago en tokens ERC-20 es 0. Esto se debe a la mezcla de tokens ERC-1155 y ERC-721, y a que no se ha tratado de manera especial el ERC-721, que no tiene un concepto de cantidad.
evento de airdrop de APE Coin
El 17 de marzo de 2022, un hacker obtuvo más de 60,000 APE Coin a través de un préstamo relámpago.
Causa de la vulnerabilidad: defecto lógico del contrato. El contrato de airdrop solo determina la propiedad del usuario sobre el NFT a través de balanceOf(), lo que solo puede obtener el estado instantáneo, y puede ser manipulado por préstamos relámpago.
Evento de Revest Finance
El 27 de marzo de 2022, Revest Finance fue atacado por hackers, con una pérdida de 120,000 dólares.
Causa de la vulnerabilidad: ataque de reentrada ERC-1155. El contrato de Revest tiene una vulnerabilidad de reentrada al agregar activos colateralizados FNFT, derivada de una llamada externa en la función de acuñación.
evento de aprovecharse de la NBA
El 21 de abril de 2022, el proyecto de la NBA fue atacado por hackers.
Causa de la vulnerabilidad: defecto en la verificación de firmas. El contrato The_Association_Sales presenta problemas de suplantación y reutilización de firmas durante la verificación de la lista blanca.
evento Akutar
El 23 de abril de 2022, una vulnerabilidad en el contrato AkuAuction del proyecto Akutar provocó el bloqueo de 11,000 ETH.
Causa del fallo: defecto en la lógica de reembolso. La función de reembolso presenta un riesgo de ser bloqueada maliciosamente y no considera la situación de múltiples ofertas por parte del usuario, lo que impide que se ejecute el reembolso.
evento XCarnival
El 24 de junio de 2022, XCarnival fue atacado y perdió 3.8 millones de dólares.
Causa de la vulnerabilidad: verificación insuficiente de los registros de garantía. El contrato XNFT no realizó suficientes comprobaciones al momento de hacer staking y préstamos, lo que permitió la reutilización de registros de garantía inválidos.
Problemas de seguridad comunes en contratos NFT
Problemas de verificación de firma: falta de verificación de ejecución repetida, la verificación de firma no es estricta.
Vulnerabilidad lógica: restricciones de acuñación inadecuadas, el proceso de subasta tiene fallos.
Ataques de reentrada ERC721/ERC1155: la función de notificación de transferencia puede causar reentrada.
Autorización excesiva: solicita autorización global pero en realidad solo necesita autorización de un solo token.
Manipulación de precios: los precios dependen de factores que pueden ser manipulados por préstamos relámpago.
En resumen, los problemas de seguridad de los contratos NFT son complejos y diversos, por lo que las auditorías profesionales son especialmente importantes. Los proyectos deben dar importancia a la seguridad de los contratos, evaluar a fondo los riesgos potenciales y garantizar la seguridad de los activos de los usuarios.