Seguridad de contratos NFT: Análisis de eventos de la primera mitad del año y discusión de problemas comunes
En la primera mitad de 2022, los incidentes de seguridad en el ámbito de los NFT fueron frecuentes, causando grandes pérdidas. Según el monitoreo de plataformas de datos, se produjeron 10 incidentes de seguridad importantes, con pérdidas de aproximadamente 64.9 millones de dólares. Los métodos de ataque incluyeron principalmente la explotación de vulnerabilidades en contratos, filtración de claves privadas y phishing. Entre ellos, los ataques de phishing en la plataforma Discord fueron particularmente rampantes, con servidores siendo atacados casi a diario, lo que llevó a pérdidas frecuentes para los usuarios.
Análisis de eventos de seguridad típicos
evento TreasureDAO
El 3 de marzo de 2022, la plataforma de trading TreasureDAO fue atacada por hackers, y más de 100 NFT fueron robados. La vulnerabilidad se originó en un problema lógico en el contrato TreasureMarketplaceBuyer. El contrato no diferenció entre tokens ERC-1155 y ERC-721, lo que permitió la compra de NFT al pagar 0 tokens.
evento de airdrop de APE Coin
El 17 de marzo de 2022, los hackers utilizaron un préstamo relámpago para obtener más de 60,000 APE Coin en el airdrop. El contrato de airdrop de GrapesToken utilizó el estado instantáneo para determinar la propiedad de los NFT de BAYC/MAYC, que fue manipulado por el atacante a través del préstamo relámpago.
Evento de Revest Finance
El 27 de marzo de 2022, Revest Finance fue atacado, con una pérdida de 120,000 dólares. La vulnerabilidad se presentó en un ataque de reentrada ERC-1155, donde el contrato no manejó correctamente las variables de estado al acuñar nuevos FNFT, lo que llevó a una vulnerabilidad de reentrada.
evento de aprovecharse de la NBA
El 21 de abril de 2022, el proyecto de la NBA fue atacado por hackers. El contrato The_Association_Sales tenía problemas de suplantación y reutilización de firmas durante la verificación de la lista blanca, sin registrar las firmas utilizadas ni verificar el msg.sender.
Evento Akutar
El 23 de abril de 2022, un fallo en el contrato AkuAuction del proyecto Akutar provocó el bloqueo de 11539ETH (aproximadamente 34 millones de dólares). El contrato tenía un problema en la lógica de reembolso, ya que no consideraba los casos de múltiples ofertas de los usuarios, lo que impedía la ejecución de la operación de reembolso.
evento XCarnival
El 24 de junio de 2022, XCarnival fue atacado, perdiendo 3087 Ether (aproximadamente 3.8 millones de dólares). El contrato de XNFT no verificó la validez de la dirección xToken al apilar NFT, y no verificó el estado de los registros de colateral al prestar.
Preguntas Frecuentes sobre Contratos NFT
Suplantación y reutilización de firmas:
Falta la verificación de ejecución repetida
La verificación de la firma no es estricta
Vulnerabilidades lógicas:
Control inadecuado del suministro total de monedas
El orden de las transacciones en el proceso de subasta depende de ataques
Ataque de reentrada ERC721/ERC1155:
La función de notificación de transferencias puede causar reentrada
Ámbito de autorización demasiado amplio:
Exigir una autorización excesiva, aumentando el riesgo de robo de NFT
Manipulación de precios:
El precio del NFT depende de factores que pueden ser manipulados.
Dado que los eventos de seguridad de contratos NFT son frecuentes, la auditoría de seguridad profesional se vuelve especialmente importante. Los equipos de proyectos deben prestar atención a la seguridad de los contratos y buscar instituciones profesionales para realizar auditorías completas con el fin de reducir los riesgos de seguridad.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
6
Republicar
Compartir
Comentar
0/400
WalletDivorcer
· 07-31 14:32
Hay tontos por todas partes y todavía hay quienes toman a la gente por tonta. No se puede acabar.
Ver originalesResponder0
OnchainFortuneTeller
· 07-28 22:52
¡Otra vez ha sido hackeado! Discord es un paraíso de phishing.
Ver originalesResponder0
HashRatePhilosopher
· 07-28 15:55
Cuantos más tontos sumen, más Hacker estarán al acecho.
Ver originalesResponder0
SchrodingersPaper
· 07-28 15:50
Reducir pérdidas durante seis meses, y de nuevo tomando a la gente por tonta con un accidente de seguridad. [开心]
Ver originalesResponder0
CountdownToBroke
· 07-28 15:48
Este contrato es realmente muy malo, estoy perdiendo mucho.
Ver originalesResponder0
AltcoinAnalyst
· 07-28 15:29
La encriptación de datos se ha convertido en una prioridad. Si esto continúa, el TVL caerá a cero.
Los riesgos de seguridad en los contratos NFT se han vuelto frecuentes, con pérdidas cercanas a 65 millones de dólares en la primera mitad del año.
Seguridad de contratos NFT: Análisis de eventos de la primera mitad del año y discusión de problemas comunes
En la primera mitad de 2022, los incidentes de seguridad en el ámbito de los NFT fueron frecuentes, causando grandes pérdidas. Según el monitoreo de plataformas de datos, se produjeron 10 incidentes de seguridad importantes, con pérdidas de aproximadamente 64.9 millones de dólares. Los métodos de ataque incluyeron principalmente la explotación de vulnerabilidades en contratos, filtración de claves privadas y phishing. Entre ellos, los ataques de phishing en la plataforma Discord fueron particularmente rampantes, con servidores siendo atacados casi a diario, lo que llevó a pérdidas frecuentes para los usuarios.
Análisis de eventos de seguridad típicos
evento TreasureDAO
El 3 de marzo de 2022, la plataforma de trading TreasureDAO fue atacada por hackers, y más de 100 NFT fueron robados. La vulnerabilidad se originó en un problema lógico en el contrato TreasureMarketplaceBuyer. El contrato no diferenció entre tokens ERC-1155 y ERC-721, lo que permitió la compra de NFT al pagar 0 tokens.
evento de airdrop de APE Coin
El 17 de marzo de 2022, los hackers utilizaron un préstamo relámpago para obtener más de 60,000 APE Coin en el airdrop. El contrato de airdrop de GrapesToken utilizó el estado instantáneo para determinar la propiedad de los NFT de BAYC/MAYC, que fue manipulado por el atacante a través del préstamo relámpago.
Evento de Revest Finance
El 27 de marzo de 2022, Revest Finance fue atacado, con una pérdida de 120,000 dólares. La vulnerabilidad se presentó en un ataque de reentrada ERC-1155, donde el contrato no manejó correctamente las variables de estado al acuñar nuevos FNFT, lo que llevó a una vulnerabilidad de reentrada.
evento de aprovecharse de la NBA
El 21 de abril de 2022, el proyecto de la NBA fue atacado por hackers. El contrato The_Association_Sales tenía problemas de suplantación y reutilización de firmas durante la verificación de la lista blanca, sin registrar las firmas utilizadas ni verificar el msg.sender.
Evento Akutar
El 23 de abril de 2022, un fallo en el contrato AkuAuction del proyecto Akutar provocó el bloqueo de 11539ETH (aproximadamente 34 millones de dólares). El contrato tenía un problema en la lógica de reembolso, ya que no consideraba los casos de múltiples ofertas de los usuarios, lo que impedía la ejecución de la operación de reembolso.
evento XCarnival
El 24 de junio de 2022, XCarnival fue atacado, perdiendo 3087 Ether (aproximadamente 3.8 millones de dólares). El contrato de XNFT no verificó la validez de la dirección xToken al apilar NFT, y no verificó el estado de los registros de colateral al prestar.
Preguntas Frecuentes sobre Contratos NFT
Suplantación y reutilización de firmas:
Vulnerabilidades lógicas:
Ataque de reentrada ERC721/ERC1155:
Ámbito de autorización demasiado amplio:
Manipulación de precios:
Dado que los eventos de seguridad de contratos NFT son frecuentes, la auditoría de seguridad profesional se vuelve especialmente importante. Los equipos de proyectos deben prestar atención a la seguridad de los contratos y buscar instituciones profesionales para realizar auditorías completas con el fin de reducir los riesgos de seguridad.