Analyse des problèmes de sécurité des contrats NFT et explication des risques courants

Au cours du premier semestre 2022, le domaine des NFT a connu de fréquents incidents de sécurité, entraînant d'importantes pertes économiques. Selon un rapport d'une plateforme de sécurité blockchain, il y a eu 10 incidents majeurs de sécurité liés aux NFT, avec des pertes cumulées d'environ 6,49 millions de dollars. Les principales méthodes d'attaque comprenaient l'exploitation de vulnérabilités de contrats, la fuite de clés privées et le phishing. Il convient de noter que les attaques de phishing sur la plateforme Discord étaient particulièrement répandues, avec presque chaque jour des serveurs attaqués, entraînant des pertes d'actifs pour les utilisateurs.

Revue des incidents de sécurité typiques

événement TreasureDAO

Le 3 mars, la plateforme d'échange TreasureDAO a été piratée, entraînant le vol de plus de 100 NFT. La cause de l'incident réside dans une faille logique dans le contrat, où les jetons ERC-1155 et ERC-721 ont été mélangés, entraînant une erreur de calcul, permettant ainsi aux attaquants d'acheter des NFT à coût nul.

vulnérabilité de l'airdrop APE Coin

Le 17 mars, un hacker a utilisé un prêt flash pour obtenir plus de 60 000 APE Coin en airdrop. La vulnérabilité se trouvait dans le contrat d'airdrop qui ne vérifiait que la propriété instantanée de l'appelant sur le NFT, sans tenir compte des impacts potentiels des prêts flash.

Revest Finance a subi une attaque par réentrance

Le 27 mars, le projet Revest Finance a subi une perte de 120 000 $. L'attaquant a exploité une vulnérabilité de réentrance dans la norme ERC-1155 pour réaliser une attaque de réentrance lors du processus de minting de FNFT.

vulnérabilité de signature du projet NBA

Le 21 avril, un projet NFT lié à la NBA a été attaqué. Le problème réside dans le mécanisme de vérification de la liste blanche, avec deux principales vulnérabilités : l'usurpation de signature et la réutilisation.

Événement de verrouillage de contrat Akutar

Le 23 avril, le projet Akutar a été affecté par une vulnérabilité de contrat intelligent, entraînant le verrouillage permanent de 11 539 ETH d'une valeur de 34 millions de dollars dans le contrat. La principale raison en est un défaut de conception logique de la fonction de remboursement.

Attaque de la plateforme de prêt XCarnival

Le 24 juin, le protocole de prêt NFT XCarnival a été attaqué par des hackers, entraînant une perte d'environ 3,8 millions de dollars. Les attaquants ont exploité une vulnérabilité logique dans le contrat pour réutiliser des enregistrements de collatéral invalides pour emprunter.

Risques de sécurité courants des contrats NFT

À travers l'analyse des événements ci-dessus, nous pouvons résumer quelques types de problèmes de sécurité courants dans les contrats NFT :

1. Défaillance du mécanisme de signature : y compris les problèmes de réutilisation et d'usurpation de signature.
2. Vulnérabilités de conception logique : telles que des restrictions de frappe inappropriées, des défauts dans la logique des enchères, etc.
3. Problèmes de mise en œuvre des normes ERC721/ERC1155 : en particulier le risque d'attaques par réentrance.
4. Autorisation excessive : l'étendue de l'autorisation de l'utilisateur est trop large, augmentant le risque de vol d'actifs.
5. Manipulation des prix : le mécanisme de tarification des NFT peut être utilisé de manière malveillante.

Ces problèmes reflètent le fait que de nombreux projets NFT ont négligé un audit de sécurité complet lors du développement et du déploiement des contrats. Pour réduire les risques de sécurité, les équipes de projet NFT devraient accorder de l'importance à l'audit des contrats, en engageant des équipes de sécurité professionnelles pour effectuer une évaluation complète et corriger les vulnérabilités. Parallèlement, les utilisateurs doivent également rester vigilants lorsqu'ils participent à des projets NFT et veiller à protéger la sécurité de leurs actifs personnels.