Análisis de seguridad de contratos NFT: Principales eventos y problemas comunes en el primer semestre
En la primera mitad de 2022, ocurrieron múltiples incidentes de seguridad en el ámbito de los NFT, causando pérdidas enormes. Según las estadísticas, durante este período se produjeron 10 incidentes principales de seguridad de NFT, con una pérdida total de aproximadamente 64.9 millones de dólares. Los métodos de ataque incluyen principalmente la explotación de vulnerabilidades de contratos, filtración de claves privadas y phishing, entre otros. Cabe destacar que los incidentes de phishing en la plataforma Discord son frecuentes, casi todos los días hay servidores que sufren ataques, lo que lleva a pérdidas frecuentes para los usuarios individuales.
Análisis de incidentes de seguridad típicos
evento TreasureDAO
El 3 de marzo, la plataforma de intercambio TreasureDAO sufrió un ataque, y más de 100 NFTs fueron robados. La razón es que el contrato tenía una vulnerabilidad lógica, y la mezcla de tokens ERC-1155 y ERC-721 causó confusión lógica. El contrato no realizó una verificación del tipo de token, lo que permitió la compra de tokens con un monto de pago de 0 en tokens ERC-20.
evento de airdrop de APE Coin
El 17 de marzo, un hacker utilizó un préstamo relámpago para obtener más de 60,000 APE Coin en airdrop. La vulnerabilidad radica en que el contrato de airdrop solo verifica la propiedad del NFT a través del estado instantáneo, y este estado puede ser manipulado por un préstamo relámpago.
Evento de Revest Finance
El 27 de marzo, Revest Finance fue atacado, perdiendo 120,000 dólares. La razón fue una vulnerabilidad de reentrada en el ERC-1155, ya que el contrato no verificó si ya existía al acuñar un nuevo FNFT, y la variable de estado se incrementó después de la función de acuñación, lo que provocó el ataque de reentrada.
evento de aprovecharse de la NBA
El 21 de abril, el proyecto de la NBA fue atacado. El problema radica en el método de verificación de firmas de la lista blanca, que presenta dos riesgos de seguridad: suplantación de firmas y reutilización.
evento Akutar
El 23 de abril, una vulnerabilidad en el contrato del proyecto Akutar llevó al bloqueo de activos por valor de 34 millones de dólares. La causa principal fue un error en la lógica de la función de reembolso, que no tuvo en cuenta la posibilidad de que los usuarios pudieran ofertar por múltiples NFT.
evento XCarnival
El 24 de junio, XCarnival fue atacado, con pérdidas de aproximadamente 3.8 millones de dólares. La vulnerabilidad radica en que el contrato no verificó la validez de la dirección del xToken del NFT en garantía y no detectó el estado del registro de garantía.
Preguntas frecuentes sobre contratos NFT
Suplantación y reutilización de firmas: falta de verificación de ejecución repetida, comprobación de firmas irracional.
Vulnerabilidades lógicas: los administradores pueden eludir el límite total de emisión de monedas, existe un riesgo de ataque por dependencia del orden de las transacciones en la subasta.
Ataques de reentrada ERC721/ERC1155: el uso de la función de notificación de transferencia puede provocar reentradas.
Rango de autorización demasiado amplio: se requiere autorización global en lugar de autorización de un solo token, aumentando el riesgo de robo de NFT.
Manipulación de precios: El precio de NFT depende de la cantidad de tokens de contrato externo en posesión, lo que lo hace susceptible a la influencia de préstamos relámpago.
Dada estas preguntas frecuentes, es especialmente importante llevar a cabo una auditoría de seguridad profesional en los contratos de NFT. Los desarrolladores del proyecto deben dar importancia a la seguridad del contrato para prevenir posibles pérdidas significativas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
4
Republicar
Compartir
Comentar
0/400
BearMarketSurvivor
· hace14h
Los errores en los contratos son comunes cada año, los tontos son tomados por tontos todos los días.
Ver originalesResponder0
HashBandit
· 08-09 15:37
bruh, el mismo lío de contratos de siempre... me recuerda a mi rig de minería de gpu que se incendió en 2017 smh
Ver originalesResponder0
WalletDivorcer
· 08-09 15:24
¿Quién ha perdido su billetera otra vez?
Ver originalesResponder0
ZeroRushCaptain
· 08-09 15:22
La máquina de retirar dinero que perdió hasta caer a cero a la velocidad de la luz, ¡también fue engañada por el grupo de inversión!
Advertencia de seguridad sobre contratos NFT: revisión de eventos y análisis de riesgos en la primera mitad de 2022
Análisis de seguridad de contratos NFT: Principales eventos y problemas comunes en el primer semestre
En la primera mitad de 2022, ocurrieron múltiples incidentes de seguridad en el ámbito de los NFT, causando pérdidas enormes. Según las estadísticas, durante este período se produjeron 10 incidentes principales de seguridad de NFT, con una pérdida total de aproximadamente 64.9 millones de dólares. Los métodos de ataque incluyen principalmente la explotación de vulnerabilidades de contratos, filtración de claves privadas y phishing, entre otros. Cabe destacar que los incidentes de phishing en la plataforma Discord son frecuentes, casi todos los días hay servidores que sufren ataques, lo que lleva a pérdidas frecuentes para los usuarios individuales.
Análisis de incidentes de seguridad típicos
evento TreasureDAO
El 3 de marzo, la plataforma de intercambio TreasureDAO sufrió un ataque, y más de 100 NFTs fueron robados. La razón es que el contrato tenía una vulnerabilidad lógica, y la mezcla de tokens ERC-1155 y ERC-721 causó confusión lógica. El contrato no realizó una verificación del tipo de token, lo que permitió la compra de tokens con un monto de pago de 0 en tokens ERC-20.
evento de airdrop de APE Coin
El 17 de marzo, un hacker utilizó un préstamo relámpago para obtener más de 60,000 APE Coin en airdrop. La vulnerabilidad radica en que el contrato de airdrop solo verifica la propiedad del NFT a través del estado instantáneo, y este estado puede ser manipulado por un préstamo relámpago.
Evento de Revest Finance
El 27 de marzo, Revest Finance fue atacado, perdiendo 120,000 dólares. La razón fue una vulnerabilidad de reentrada en el ERC-1155, ya que el contrato no verificó si ya existía al acuñar un nuevo FNFT, y la variable de estado se incrementó después de la función de acuñación, lo que provocó el ataque de reentrada.
evento de aprovecharse de la NBA
El 21 de abril, el proyecto de la NBA fue atacado. El problema radica en el método de verificación de firmas de la lista blanca, que presenta dos riesgos de seguridad: suplantación de firmas y reutilización.
evento Akutar
El 23 de abril, una vulnerabilidad en el contrato del proyecto Akutar llevó al bloqueo de activos por valor de 34 millones de dólares. La causa principal fue un error en la lógica de la función de reembolso, que no tuvo en cuenta la posibilidad de que los usuarios pudieran ofertar por múltiples NFT.
evento XCarnival
El 24 de junio, XCarnival fue atacado, con pérdidas de aproximadamente 3.8 millones de dólares. La vulnerabilidad radica en que el contrato no verificó la validez de la dirección del xToken del NFT en garantía y no detectó el estado del registro de garantía.
Preguntas frecuentes sobre contratos NFT
Suplantación y reutilización de firmas: falta de verificación de ejecución repetida, comprobación de firmas irracional.
Vulnerabilidades lógicas: los administradores pueden eludir el límite total de emisión de monedas, existe un riesgo de ataque por dependencia del orden de las transacciones en la subasta.
Ataques de reentrada ERC721/ERC1155: el uso de la función de notificación de transferencia puede provocar reentradas.
Rango de autorización demasiado amplio: se requiere autorización global en lugar de autorización de un solo token, aumentando el riesgo de robo de NFT.
Manipulación de precios: El precio de NFT depende de la cantidad de tokens de contrato externo en posesión, lo que lo hace susceptible a la influencia de préstamos relámpago.
Dada estas preguntas frecuentes, es especialmente importante llevar a cabo una auditoría de seguridad profesional en los contratos de NFT. Los desarrolladores del proyecto deben dar importancia a la seguridad del contrato para prevenir posibles pérdidas significativas.