Análise de Segurança de Contratos NFT: Principais Eventos e Problemas Comuns no Primeiro Semestre
No primeiro semestre de 2022, ocorreram vários incidentes de segurança no campo dos NFT, resultando em enormes perdas. De acordo com dados estatísticos, durante este período, ocorreram 10 principais incidentes de segurança de NFT, totalizando perdas de cerca de 64,9 milhões de dólares. As principais formas de ataque incluem exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Vale a pena notar que os incidentes de phishing na plataforma Discord são frequentes, quase todos os dias servidores são atacados, levando a perdas frequentes para usuários individuais.
Análise de Incidentes de Segurança Típicos
Evento TreasureDAO
No dia 3 de março, a plataforma de negociação TreasureDAO foi atacada, resultando no roubo de mais de 100 NFTs. A causa foi uma falha lógica no contrato, que misturou tokens ERC-1155 e ERC-721, levando a uma confusão lógica. O contrato não fez a verificação do tipo de token, permitindo a compra de tokens mesmo quando o valor em tokens ERC-20 era 0.
APE Coin airdrop event
No dia 17 de março, hackers utilizaram um empréstimo relâmpago para obter mais de 60.000 moedas APE Coin em um airdrop. A vulnerabilidade estava no fato de que o contrato de airdrop apenas avaliava a propriedade do NFT com base no estado instantâneo, e esse estado podia ser manipulado por um empréstimo relâmpago.
Evento Revest Finance
No dia 27 de março, a Revest Finance foi atacada, resultando em uma perda de 120 mil dólares. A razão foi uma vulnerabilidade de reentrada ERC-1155, onde o contrato não verificou se já existia ao emitir um novo FNFT, e a variável de estado foi incrementada após a função de emissão, permitindo o ataque de reentrada.
evento NBA de aproveitar-se.
No dia 21 de abril, o projeto da NBA foi atacado. O problema estava na forma de verificação da assinatura da lista branca, que apresentava duas vulnerabilidades de segurança: uso indevido e reutilização da assinatura.
Evento Akutar
No dia 23 de abril, uma falha no contrato do projeto Akutar resultou no bloqueio de ativos no valor de 34 milhões de dólares. A principal razão foi um erro lógico na função de reembolso, que não considerou a possibilidade de os usuários licitarem em múltiplos NFTs.
Evento XCarnival
No dia 24 de junho, o XCarnival foi atacado, resultando em uma perda de cerca de 3,8 milhões de dólares. A vulnerabilidade estava no fato de que o contrato não verificou a validade do endereço xToken do NFT empenhado e não fez a detecção do estado do registro de garantia.
Perguntas Frequentes sobre Contratos NFT
Uso e reutilização de assinaturas: falta de verificação de execução repetida, verificação de assinatura não razoável.
Falha lógica: os administradores podem contornar o limite total de cunhagem, existindo risco de ataque de dependência de ordem de transação em leilões.
Ataque de reentrada ERC721/ERC1155: pode ocorrer reentrada ao usar a funcionalidade de notificação de transferência.
Escopo de autorização muito amplo: exige autorização global em vez de autorização para um único token, aumentando o risco de roubo de NFT.
Manipulação de preço: O preço do NFT depende da quantidade de tokens de contratos externos, sendo facilmente afetado por empréstimos relâmpago.
Tendo em vista estas questões comuns, é especialmente importante realizar uma auditoria de segurança profissional nos contratos de NFT. As equipes de projeto devem dar atenção à segurança dos contratos, a fim de evitar potenciais perdas significativas.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
10 gostos
Recompensa
10
4
Republicar
Partilhar
Comentar
0/400
BearMarketSurvivor
· 17h atrás
As falhas nos contratos são anuais, idiotas são feitos de parvas todos os dias.
Ver originalResponder0
HashBandit
· 08-09 15:37
bruh, mesma velha confusão de contrato... lembra-me do meu rig de mineração de gpu a pegar fogo em 2017 smh
Ver originalResponder0
WalletDivorcer
· 08-09 15:24
Quem perdeu a carteira de casa novamente?
Ver originalResponder0
ZeroRushCaptain
· 08-09 15:22
Um caixa eletrônico que perdeu dinheiro a uma velocidade incrível e agora está sendo enganado por idiotas com o lançamento do fish pool.
Aviso de segurança do contrato NFT: Revisão de eventos e análise de riscos do primeiro semestre de 2022
Análise de Segurança de Contratos NFT: Principais Eventos e Problemas Comuns no Primeiro Semestre
No primeiro semestre de 2022, ocorreram vários incidentes de segurança no campo dos NFT, resultando em enormes perdas. De acordo com dados estatísticos, durante este período, ocorreram 10 principais incidentes de segurança de NFT, totalizando perdas de cerca de 64,9 milhões de dólares. As principais formas de ataque incluem exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Vale a pena notar que os incidentes de phishing na plataforma Discord são frequentes, quase todos os dias servidores são atacados, levando a perdas frequentes para usuários individuais.
Análise de Incidentes de Segurança Típicos
Evento TreasureDAO
No dia 3 de março, a plataforma de negociação TreasureDAO foi atacada, resultando no roubo de mais de 100 NFTs. A causa foi uma falha lógica no contrato, que misturou tokens ERC-1155 e ERC-721, levando a uma confusão lógica. O contrato não fez a verificação do tipo de token, permitindo a compra de tokens mesmo quando o valor em tokens ERC-20 era 0.
APE Coin airdrop event
No dia 17 de março, hackers utilizaram um empréstimo relâmpago para obter mais de 60.000 moedas APE Coin em um airdrop. A vulnerabilidade estava no fato de que o contrato de airdrop apenas avaliava a propriedade do NFT com base no estado instantâneo, e esse estado podia ser manipulado por um empréstimo relâmpago.
Evento Revest Finance
No dia 27 de março, a Revest Finance foi atacada, resultando em uma perda de 120 mil dólares. A razão foi uma vulnerabilidade de reentrada ERC-1155, onde o contrato não verificou se já existia ao emitir um novo FNFT, e a variável de estado foi incrementada após a função de emissão, permitindo o ataque de reentrada.
evento NBA de aproveitar-se.
No dia 21 de abril, o projeto da NBA foi atacado. O problema estava na forma de verificação da assinatura da lista branca, que apresentava duas vulnerabilidades de segurança: uso indevido e reutilização da assinatura.
Evento Akutar
No dia 23 de abril, uma falha no contrato do projeto Akutar resultou no bloqueio de ativos no valor de 34 milhões de dólares. A principal razão foi um erro lógico na função de reembolso, que não considerou a possibilidade de os usuários licitarem em múltiplos NFTs.
Evento XCarnival
No dia 24 de junho, o XCarnival foi atacado, resultando em uma perda de cerca de 3,8 milhões de dólares. A vulnerabilidade estava no fato de que o contrato não verificou a validade do endereço xToken do NFT empenhado e não fez a detecção do estado do registro de garantia.
Perguntas Frequentes sobre Contratos NFT
Uso e reutilização de assinaturas: falta de verificação de execução repetida, verificação de assinatura não razoável.
Falha lógica: os administradores podem contornar o limite total de cunhagem, existindo risco de ataque de dependência de ordem de transação em leilões.
Ataque de reentrada ERC721/ERC1155: pode ocorrer reentrada ao usar a funcionalidade de notificação de transferência.
Escopo de autorização muito amplo: exige autorização global em vez de autorização para um único token, aumentando o risco de roubo de NFT.
Manipulação de preço: O preço do NFT depende da quantidade de tokens de contratos externos, sendo facilmente afetado por empréstimos relâmpago.
Tendo em vista estas questões comuns, é especialmente importante realizar uma auditoria de segurança profissional nos contratos de NFT. As equipes de projeto devem dar atenção à segurança dos contratos, a fim de evitar potenciais perdas significativas.