Análise de problemas de segurança de contratos NFT e interpretação de riscos comuns
No primeiro semestre de 2022, ocorreram muitos incidentes de segurança no campo dos NFTs, resultando em grandes perdas econômicas. Segundo uma plataforma de segurança blockchain, ocorreram 10 eventos significativos de segurança de NFTs, com perdas totais de cerca de 6,49 milhões de dólares. Os principais métodos de ataque incluem a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Vale a pena notar que os ataques de phishing na plataforma Discord eram particularmente frequentes, com servidores sendo atacados quase todos os dias, resultando em perdas de ativos para os usuários.
Revisão de Eventos de Segurança Típicos
Evento TreasureDAO
No dia 3 de março, a plataforma de negociação TreasureDAO foi invadida por hackers, resultando no roubo de mais de 100 NFTs. A origem do incidente foi uma falha lógica no contrato, onde a utilização mista de tokens ERC-1155 e ERC-721 levou a um erro de cálculo, permitindo que os atacantes comprassem NFTs a custo zero.
APE Coin airdrop漏洞
No dia 17 de março, hackers utilizaram um empréstimo relâmpago para obter mais de 60 mil moedas APE em um airdrop. A falha estava no contrato do airdrop, que apenas verificava a propriedade temporária do chamador sobre o NFT, sem considerar os impactos que um empréstimo relâmpago poderia trazer.
Revest Finance sofreu um ataque de reentrada
No dia 27 de março, o projeto Revest Finance perdeu 120.000 dólares. O atacante explorou uma vulnerabilidade de reentrada no padrão ERC-1155, realizando um ataque de reentrada durante o processo de cunhagem de FNFT.
vulnerabilidade de assinatura do projeto NBA
No dia 21 de abril, o projeto NFT relacionado à NBA foi atacado. O problema estava no mecanismo de verificação da lista branca, apresentando duas principais vulnerabilidades: uso indevido de assinaturas e reutilização.
Evento de bloqueio do contrato Akutar
No dia 23 de abril, o projeto Akutar teve 11539 ETH, no valor de 34 milhões de dólares, permanentemente bloqueados no contrato devido a uma falha na segurança do contrato inteligente. A principal razão foi um defeito de lógica no design da função de reembolso.
Ataque à plataforma de empréstimos XCarnival
No dia 24 de junho, o protocolo de empréstimo NFT XCarnival foi atacado por hackers, resultando em uma perda de cerca de 3,8 milhões de dólares. Os atacantes exploraram uma falha lógica no contrato, reutilizando registros de colaterais inválidos para realizar empréstimos.
Riscos de segurança comuns em contratos NFT
Através da análise dos eventos mencionados acima, podemos resumir algumas das questões de segurança comuns nos contratos de NFT:
Defeitos no mecanismo de assinatura: incluindo problemas de reutilização e falsificação de assinaturas.
Vulnerabilidades de design lógico: como restrições inadequadas na cunhagem, falhas na lógica de licitação, etc.
Problemas de implementação dos padrões ERC721/ERC1155: especialmente o risco de ataque de reentrada.
Autorização excessiva: O alcance da autorização do usuário é demasiado amplo, aumentando o risco de roubo de ativos.
Manipulação de preços: O mecanismo de precificação de NFT pode ser explorado maliciosamente.
Estas questões refletem que muitos projetos de NFT negligenciam uma auditoria de segurança abrangente durante o desenvolvimento e implementação de contratos. Para reduzir os riscos de segurança, as equipes de projetos de NFT devem dar importância ao trabalho de auditoria de contratos, contratando equipes de segurança profissionais para uma avaliação abrangente e correção de vulnerabilidades. Ao mesmo tempo, os usuários devem manter-se vigilantes ao participar de projetos de NFT e estar atentos à proteção da segurança de seus ativos pessoais.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
15 Curtidas
Recompensa
15
6
Compartilhar
Comentário
0/400
WalletWhisperer
· 07-08 19:25
Outra vez foram fazer as pessoas de parvas e está a sangrar~
Ver originalResponder0
AirDropMissed
· 07-08 16:14
Pesca e roubo, sinto que a minha conta está segura.
Ver originalResponder0
GateUser-bd883c58
· 07-08 16:14
idiotas novamente foram feitos de parvas
Ver originalResponder0
CommunityLurker
· 07-08 16:13
idiotas mutuamente fazem as pessoas de parvas..... a vontade de sobreviver dos usuários é realmente alta
Ver originalResponder0
SignatureDenied
· 07-08 16:12
Essa perda merece ser chamada de significativa?
Ver originalResponder0
BlockImposter
· 07-08 16:10
Os meios de fazer as pessoas de parvas tornaram-se mais sofisticados.
Análise das seis principais vulnerabilidades de contratos NFT: eventos frequentes causam perdas de quase 6,5 milhões de dólares.
Análise de problemas de segurança de contratos NFT e interpretação de riscos comuns
No primeiro semestre de 2022, ocorreram muitos incidentes de segurança no campo dos NFTs, resultando em grandes perdas econômicas. Segundo uma plataforma de segurança blockchain, ocorreram 10 eventos significativos de segurança de NFTs, com perdas totais de cerca de 6,49 milhões de dólares. Os principais métodos de ataque incluem a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Vale a pena notar que os ataques de phishing na plataforma Discord eram particularmente frequentes, com servidores sendo atacados quase todos os dias, resultando em perdas de ativos para os usuários.
Revisão de Eventos de Segurança Típicos
Evento TreasureDAO
No dia 3 de março, a plataforma de negociação TreasureDAO foi invadida por hackers, resultando no roubo de mais de 100 NFTs. A origem do incidente foi uma falha lógica no contrato, onde a utilização mista de tokens ERC-1155 e ERC-721 levou a um erro de cálculo, permitindo que os atacantes comprassem NFTs a custo zero.
APE Coin airdrop漏洞
No dia 17 de março, hackers utilizaram um empréstimo relâmpago para obter mais de 60 mil moedas APE em um airdrop. A falha estava no contrato do airdrop, que apenas verificava a propriedade temporária do chamador sobre o NFT, sem considerar os impactos que um empréstimo relâmpago poderia trazer.
Revest Finance sofreu um ataque de reentrada
No dia 27 de março, o projeto Revest Finance perdeu 120.000 dólares. O atacante explorou uma vulnerabilidade de reentrada no padrão ERC-1155, realizando um ataque de reentrada durante o processo de cunhagem de FNFT.
vulnerabilidade de assinatura do projeto NBA
No dia 21 de abril, o projeto NFT relacionado à NBA foi atacado. O problema estava no mecanismo de verificação da lista branca, apresentando duas principais vulnerabilidades: uso indevido de assinaturas e reutilização.
Evento de bloqueio do contrato Akutar
No dia 23 de abril, o projeto Akutar teve 11539 ETH, no valor de 34 milhões de dólares, permanentemente bloqueados no contrato devido a uma falha na segurança do contrato inteligente. A principal razão foi um defeito de lógica no design da função de reembolso.
Ataque à plataforma de empréstimos XCarnival
No dia 24 de junho, o protocolo de empréstimo NFT XCarnival foi atacado por hackers, resultando em uma perda de cerca de 3,8 milhões de dólares. Os atacantes exploraram uma falha lógica no contrato, reutilizando registros de colaterais inválidos para realizar empréstimos.
Riscos de segurança comuns em contratos NFT
Através da análise dos eventos mencionados acima, podemos resumir algumas das questões de segurança comuns nos contratos de NFT:
Estas questões refletem que muitos projetos de NFT negligenciam uma auditoria de segurança abrangente durante o desenvolvimento e implementação de contratos. Para reduzir os riscos de segurança, as equipes de projetos de NFT devem dar importância ao trabalho de auditoria de contratos, contratando equipes de segurança profissionais para uma avaliação abrangente e correção de vulnerabilidades. Ao mesmo tempo, os usuários devem manter-se vigilantes ao participar de projetos de NFT e estar atentos à proteção da segurança de seus ativos pessoais.