Segurança dos contratos NFT: Análise de eventos do primeiro semestre e discussão de questões comuns
No primeiro semestre de 2022, ocorreram frequentes eventos de segurança no campo dos NFTs, causando enormes perdas. De acordo com o monitoramento da plataforma de dados, ocorreram 10 eventos principais de segurança, com perdas de cerca de 64,9 milhões de dólares. As principais formas de ataque incluem exploração de vulnerabilidades de contrato, vazamento de chaves privadas e phishing, entre outros. Dentre eles, os ataques de phishing na plataforma Discord foram particularmente rampantes, com servidores sendo atacados quase todos os dias, resultando em perdas frequentes para os usuários.
Análise de Eventos de Segurança Típicos
Evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi atacada por hackers, resultando no roubo de mais de 100 NFTs. A vulnerabilidade originou-se de um problema lógico no contrato TreasureMarketplaceBuyer. O contrato não fez a distinção entre tokens ERC-1155 e ERC-721 ao processar, permitindo a compra de NFTs ao pagar 0 tokens.
evento de airdrop APE Coin
No dia 17 de março de 2022, hackers utilizaram um empréstimo relâmpago para obter mais de 60 mil APE Coin em airdrop. O contrato de airdrop do GrapesToken usou uma verificação de estado instantânea para determinar a propriedade dos NFTs BAYC/MAYC, que foi manipulado pelos atacantes através de um empréstimo relâmpago.
Evento Revest Finance
No dia 27 de março de 2022, a Revest Finance foi atacada, resultando em uma perda de 120.000 dólares. A vulnerabilidade ocorreu em um ataque de reentrada ERC-1155, onde o contrato não tratou corretamente as variáveis de estado ao cunhar novos FNFTs, levando a uma vulnerabilidade de reentrada.
NBA薅羊毛事件
No dia 21 de abril de 2022, o projeto NBA foi atacado por hackers. O contrato The_Association_Sales tinha problemas de falsificação e reutilização de assinaturas durante a verificação da lista branca, sem registo das assinaturas já utilizadas e verificação de msg.sender.
Evento Akutar
No dia 23 de abril de 2022, a vulnerabilidade do contrato AkuAuction do projeto Akutar resultou no bloqueio de 11539ETH (cerca de 34 milhões de dólares). O contrato apresentava um problema na lógica de reembolso, não considerando a situação em que os usuários faziam múltiplas licitações, o que impediu a execução da operação de reembolso.
Evento XCarnival
No dia 24 de junho de 2022, o XCarnival foi atacado, resultando na perda de 3087 éteres (cerca de 3,8 milhões de dólares). O contrato XNFT não verificou a legalidade do endereço xToken ao fazer staking de NFTs e não validou o estado do registro de colateral ao emprestar.
Perguntas Frequentes sobre Contratos NFT
Uso indevido e reutilização de assinaturas:
Falta a verificação de execução repetida
Verificação de assinatura não rigorosa
Falhas lógicas:
Controle inadequado da quantidade total de moedas
A ordem das transações durante o processo de leilão depende de ataques
Ataque de reentrada ERC721/ERC1155:
A funcionalidade de notificação de transferência pode levar a reentradas
O escopo da autorização é demasiado amplo:
Exigir autorização excessiva aumenta o risco de roubo de NFT
Manipulação de preços:
O preço do NFT depende de fatores suscetíveis a manipulação
Dada a frequência de eventos de segurança em contratos NFT, a auditoria de segurança profissional torna-se especialmente importante. As partes do projeto devem dar importância à segurança do contrato, buscando instituições profissionais para realizar uma auditoria abrangente, a fim de reduzir os riscos de segurança.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
16 gostos
Recompensa
16
6
Republicar
Partilhar
Comentar
0/400
WalletDivorcer
· 07-31 14:32
遍地 idiotas ainda há quem faça as pessoas de parvas fazer as pessoas de parvas.
Ver originalResponder0
OnchainFortuneTeller
· 07-28 22:52
Mais uma vez, foi um desastre! O Discord é um verdadeiro paraíso para phishing.
Ver originalResponder0
HashRatePhilosopher
· 07-28 15:55
Quantos idiotas embarcam, quantos Hackers estão de olho.
Ver originalResponder0
SchrodingersPaper
· 07-28 15:50
Perda de corte há meio ano, e agora fazer as pessoas de parvas com acidente de segurança. [开心]
Ver originalResponder0
CountdownToBroke
· 07-28 15:48
Este contrato é muito fraco, perdi muito.
Ver originalResponder0
AltcoinAnalyst
· 07-28 15:29
A encriptação de dados tornou-se uma urgência. Assim, o TVL vai cair para zero.
As falhas de segurança em contratos NFT são frequentes, e no primeiro semestre houve uma perda de quase 65 milhões de dólares.
Segurança dos contratos NFT: Análise de eventos do primeiro semestre e discussão de questões comuns
No primeiro semestre de 2022, ocorreram frequentes eventos de segurança no campo dos NFTs, causando enormes perdas. De acordo com o monitoramento da plataforma de dados, ocorreram 10 eventos principais de segurança, com perdas de cerca de 64,9 milhões de dólares. As principais formas de ataque incluem exploração de vulnerabilidades de contrato, vazamento de chaves privadas e phishing, entre outros. Dentre eles, os ataques de phishing na plataforma Discord foram particularmente rampantes, com servidores sendo atacados quase todos os dias, resultando em perdas frequentes para os usuários.
Análise de Eventos de Segurança Típicos
Evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi atacada por hackers, resultando no roubo de mais de 100 NFTs. A vulnerabilidade originou-se de um problema lógico no contrato TreasureMarketplaceBuyer. O contrato não fez a distinção entre tokens ERC-1155 e ERC-721 ao processar, permitindo a compra de NFTs ao pagar 0 tokens.
evento de airdrop APE Coin
No dia 17 de março de 2022, hackers utilizaram um empréstimo relâmpago para obter mais de 60 mil APE Coin em airdrop. O contrato de airdrop do GrapesToken usou uma verificação de estado instantânea para determinar a propriedade dos NFTs BAYC/MAYC, que foi manipulado pelos atacantes através de um empréstimo relâmpago.
Evento Revest Finance
No dia 27 de março de 2022, a Revest Finance foi atacada, resultando em uma perda de 120.000 dólares. A vulnerabilidade ocorreu em um ataque de reentrada ERC-1155, onde o contrato não tratou corretamente as variáveis de estado ao cunhar novos FNFTs, levando a uma vulnerabilidade de reentrada.
NBA薅羊毛事件
No dia 21 de abril de 2022, o projeto NBA foi atacado por hackers. O contrato The_Association_Sales tinha problemas de falsificação e reutilização de assinaturas durante a verificação da lista branca, sem registo das assinaturas já utilizadas e verificação de msg.sender.
Evento Akutar
No dia 23 de abril de 2022, a vulnerabilidade do contrato AkuAuction do projeto Akutar resultou no bloqueio de 11539ETH (cerca de 34 milhões de dólares). O contrato apresentava um problema na lógica de reembolso, não considerando a situação em que os usuários faziam múltiplas licitações, o que impediu a execução da operação de reembolso.
Evento XCarnival
No dia 24 de junho de 2022, o XCarnival foi atacado, resultando na perda de 3087 éteres (cerca de 3,8 milhões de dólares). O contrato XNFT não verificou a legalidade do endereço xToken ao fazer staking de NFTs e não validou o estado do registro de colateral ao emprestar.
Perguntas Frequentes sobre Contratos NFT
Uso indevido e reutilização de assinaturas:
Falhas lógicas:
Ataque de reentrada ERC721/ERC1155:
O escopo da autorização é demasiado amplo:
Manipulação de preços:
Dada a frequência de eventos de segurança em contratos NFT, a auditoria de segurança profissional torna-se especialmente importante. As partes do projeto devem dar importância à segurança do contrato, buscando instituições profissionais para realizar uma auditoria abrangente, a fim de reduzir os riscos de segurança.