Sécurité des contrats NFT : Analyse des événements du premier semestre et discussion des problèmes courants
Au cours du premier semestre 2022, le domaine des NFT a connu une fréquence élevée d'incidents de sécurité, entraînant d'énormes pertes. Selon la surveillance des plateformes de données, un total de 10 incidents de sécurité majeurs ont eu lieu, avec des pertes d'environ 6490 millions de dollars. Les méthodes d'attaque incluent principalement l'exploitation des vulnérabilités des contrats, la fuite de clés privées et le phishing, entre autres. Parmi celles-ci, les attaques de phishing sur la plateforme Discord sont particulièrement répandues, avec presque chaque jour des serveurs subissant des attaques, entraînant des pertes fréquentes pour les utilisateurs.
Analyse des incidents de sécurité typiques
événement TreasureDAO
Le 3 mars 2022, la plateforme de trading TreasureDAO a été victime d'une attaque de hacker, entraînant le vol de plus de 100 NFT. La vulnérabilité provenait d'un problème logique dans le contrat TreasureMarketplaceBuyer. Le contrat ne faisait pas de distinction lors du traitement des tokens ERC-1155 et ERC-721, permettant ainsi d'acheter des NFT en payant 0 token.
Événement d'airdrop APE Coin
Le 17 mars 2022, des hackers ont utilisé un prêt flash pour obtenir plus de 60 000 APE Coin lors d'un airdrop. Le contrat d'airdrop de GrapesToken utilise un état instantané pour déterminer la propriété des NFT BAYC/MAYC par les utilisateurs, manipulé par les attaquants grâce à un prêt flash.
Événement Revest Finance
Le 27 mars 2022, Revest Finance a été attaqué, entraînant une perte de 120 000 $. La vulnérabilité se trouvait dans une attaque par réentrance ERC-1155, où le contrat ne gérait pas correctement les variables d'état lors de la création de nouveaux FNFT, entraînant une vulnérabilité de réentrance.
événement NBA de profit facile
Le 21 avril 2022, le projet NBA a été piraté. Le contrat The_Association_Sales présentait des problèmes de falsification et de réutilisation de signatures lors de la vérification sur la liste blanche, sans enregistrement des signatures déjà utilisées ni vérification de msg.sender.
événement Akutar
Le 23 avril 2022, une vulnérabilité dans le contrat AkuAuction du projet Akutar a entraîné le verrouillage de 11539 ETH (environ 34 millions de dollars). Le contrat présentait un problème de logique de remboursement, n'ayant pas pris en compte le cas de plusieurs enchères par utilisateur, ce qui a empêché l'exécution de l'opération de remboursement.
événement XCarnival
Le 24 juin 2022, XCarnival a été attaqué, entraînant une perte de 3087 ethers (environ 3,8 millions de dollars). Le contrat XNFT n'a pas vérifié la légitimité de l'adresse xToken lors du staking des NFT, et n'a pas validé l'état des enregistrements de garantie lors de l'emprunt.
Questions fréquentes sur les contrats NFT
Usurpation et réutilisation de signature :
Manque de validation d'exécution répétée
Vérification des signatures pas stricte
Vulnérabilités logiques :
Contrôle inadéquat de l'offre totale de pièces
L'ordre des transactions pendant le processus de vente aux enchères dépend des attaques
Attaque de réentrance ERC721/ERC1155 :
La fonction de notification de transfert peut entraîner une réentrée
Portée de l'autorisation trop large :
Exiger une autorisation excessive, augmentant le risque de vol de NFT
Manipulation des prix :
Le prix des NFT dépend de facteurs facilement manipulables
Étant donné la fréquence des incidents de sécurité liés aux contrats NFT, un audit de sécurité professionnel est d'une importance particulière. Les équipes de projet devraient accorder une attention particulière à la sécurité des contrats et rechercher des organismes professionnels pour effectuer un audit complet afin de réduire les risques de sécurité.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
6
Reposter
Partager
Commentaire
0/400
WalletDivorcer
· 07-31 14:32
Il y a des pigeons partout et on prend les gens pour des idiots. On ne peut jamais en finir.
Voir l'originalRépondre0
OnchainFortuneTeller
· 07-28 22:52
Ça a encore été piraté ! Discord est un véritable paradis pour le phishing.
Voir l'originalRépondre0
HashRatePhilosopher
· 07-28 15:55
Combien de pigeons montent à bord, combien de Hacker les surveillent.
Voir l'originalRépondre0
SchrodingersPaper
· 07-28 15:50
Cut Loss depuis six mois, encore pris dans un accident de sécurité, je meurs de rire.
Voir l'originalRépondre0
CountdownToBroke
· 07-28 15:48
Ce contrat est vraiment mal fait, j'ai perdu beaucoup.
Voir l'originalRépondre0
AltcoinAnalyst
· 07-28 15:29
La chiffrement des données est devenu une urgence, sinon le TVL va chuter à zéro.
Les problèmes de sécurité des contrats NFT se multiplient, avec des pertes de près de 65 millions de dollars au cours du premier semestre.
Sécurité des contrats NFT : Analyse des événements du premier semestre et discussion des problèmes courants
Au cours du premier semestre 2022, le domaine des NFT a connu une fréquence élevée d'incidents de sécurité, entraînant d'énormes pertes. Selon la surveillance des plateformes de données, un total de 10 incidents de sécurité majeurs ont eu lieu, avec des pertes d'environ 6490 millions de dollars. Les méthodes d'attaque incluent principalement l'exploitation des vulnérabilités des contrats, la fuite de clés privées et le phishing, entre autres. Parmi celles-ci, les attaques de phishing sur la plateforme Discord sont particulièrement répandues, avec presque chaque jour des serveurs subissant des attaques, entraînant des pertes fréquentes pour les utilisateurs.
Analyse des incidents de sécurité typiques
événement TreasureDAO
Le 3 mars 2022, la plateforme de trading TreasureDAO a été victime d'une attaque de hacker, entraînant le vol de plus de 100 NFT. La vulnérabilité provenait d'un problème logique dans le contrat TreasureMarketplaceBuyer. Le contrat ne faisait pas de distinction lors du traitement des tokens ERC-1155 et ERC-721, permettant ainsi d'acheter des NFT en payant 0 token.
Événement d'airdrop APE Coin
Le 17 mars 2022, des hackers ont utilisé un prêt flash pour obtenir plus de 60 000 APE Coin lors d'un airdrop. Le contrat d'airdrop de GrapesToken utilise un état instantané pour déterminer la propriété des NFT BAYC/MAYC par les utilisateurs, manipulé par les attaquants grâce à un prêt flash.
Événement Revest Finance
Le 27 mars 2022, Revest Finance a été attaqué, entraînant une perte de 120 000 $. La vulnérabilité se trouvait dans une attaque par réentrance ERC-1155, où le contrat ne gérait pas correctement les variables d'état lors de la création de nouveaux FNFT, entraînant une vulnérabilité de réentrance.
événement NBA de profit facile
Le 21 avril 2022, le projet NBA a été piraté. Le contrat The_Association_Sales présentait des problèmes de falsification et de réutilisation de signatures lors de la vérification sur la liste blanche, sans enregistrement des signatures déjà utilisées ni vérification de msg.sender.
événement Akutar
Le 23 avril 2022, une vulnérabilité dans le contrat AkuAuction du projet Akutar a entraîné le verrouillage de 11539 ETH (environ 34 millions de dollars). Le contrat présentait un problème de logique de remboursement, n'ayant pas pris en compte le cas de plusieurs enchères par utilisateur, ce qui a empêché l'exécution de l'opération de remboursement.
événement XCarnival
Le 24 juin 2022, XCarnival a été attaqué, entraînant une perte de 3087 ethers (environ 3,8 millions de dollars). Le contrat XNFT n'a pas vérifié la légitimité de l'adresse xToken lors du staking des NFT, et n'a pas validé l'état des enregistrements de garantie lors de l'emprunt.
Questions fréquentes sur les contrats NFT
Usurpation et réutilisation de signature :
Vulnérabilités logiques :
Attaque de réentrance ERC721/ERC1155 :
Portée de l'autorisation trop large :
Manipulation des prix :
Étant donné la fréquence des incidents de sécurité liés aux contrats NFT, un audit de sécurité professionnel est d'une importance particulière. Les équipes de projet devraient accorder une attention particulière à la sécurité des contrats et rechercher des organismes professionnels pour effectuer un audit complet afin de réduire les risques de sécurité.