Análisis de los riesgos de seguridad en los contratos NFT: observando los eventos frecuentes para identificar vulnerabilidades comunes y medidas de prevención
Análisis de seguridad de contratos NFT y discusión sobre problemas comunes
En la primera mitad de 2022, los eventos de seguridad en el ámbito de NFT ocurrieron con frecuencia, causando pérdidas significativas a la industria. Según las estadísticas, se produjeron un total de 10 incidentes de seguridad importantes durante este período, resultando en pérdidas de aproximadamente 64.9 millones de dólares. Los métodos de ataque incluyeron principalmente la explotación de vulnerabilidades en contratos, la filtración de claves privadas y el phishing, entre otros. Cabe destacar que los ataques de phishing en la plataforma Discord fueron especialmente rampantes, con servidores siendo atacados casi a diario, lo que llevó a pérdidas frecuentes para los usuarios individuales.
En estos eventos de seguridad, hay algunos que son especialmente notables:
Evento TreasureDAO: Debido a la confusión lógica causada por la mezcla de tokens ERC-1155 y ERC-721, los hackers lograron robar más de 100 NFT.
Evento de airdrop de APE Coin: un hacker utilizó un préstamo relámpago para obtener más de 60,000 APE Coin en airdrop. Esto expuso una vulnerabilidad en el contrato de airdrop al determinar la propiedad de NFT.
Evento de Revest Finance: debido a una vulnerabilidad de reentrada ERC-1155, el proyecto perdió aproximadamente 120,000 dólares.
El proyecto de la NBA sufrió un ataque: problemas de suplantación de firmas y reutilización llevaron a la invalidez de la verificación de la lista blanca.
Incidente Akutar: Debido a un error lógico en el contrato inteligente, aproximadamente 34 millones de dólares en activos quedaron bloqueados en el contrato.
Evento de XCarnival: una vulnerabilidad en la lógica del contrato permitió a los hackers obtener aproximadamente 3.8 millones de dólares.
Estos eventos revelan algunos problemas comunes en el diseño y la implementación de contratos NFT. Los equipos de auditoría profesionales a menudo encuentran las siguientes categorías de problemas al revisar contratos NFT:
Suplantación y reutilización de firmas: la falta de verificación de ejecución repetida o revisiones de firma poco razonables, lo que provoca que las firmas puedan ser utilizadas múltiples veces o ser verificadas por cualquier usuario.
Vulnerabilidades lógicas: como un control inadecuado de la cantidad total de monedas, fallos en el proceso de subasta, etc.
Ataques de reentrada ERC721/ERC1155: Se pueden provocar ataques de reentrada al utilizar la función de notificación de transferencia.
Alcance de autorización excesivo: los usuarios pueden ser requeridos a otorgar autorizaciones excesivas en ciertas operaciones, lo que aumenta el riesgo de robo de NFT.
Manipulación de precios: Cuando el precio del NFT depende de ciertos factores que pueden ser manipulados, puede llevar a liquidaciones anormales.
Estos problemas aparecen con frecuencia en ataques reales, lo que resalta la importancia de realizar auditorías de seguridad profesionales en los contratos de NFT. Las partes del proyecto deben dar importancia a la seguridad de los contratos y elegir empresas de seguridad profesionales para realizar auditorías exhaustivas, con el fin de reducir los riesgos de seguridad y proteger los intereses de los usuarios.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
21 me gusta
Recompensa
21
7
Republicar
Compartir
Comentar
0/400
MintMaster
· 07-24 15:08
En estos tiempos es un robo a mano armada.
Ver originalesResponder0
notSatoshi1971
· 07-22 22:16
Otra vez se ven contratos inteligentes por hk
Ver originalesResponder0
GateUser-afe07a92
· 07-22 12:22
Ser engañados por la trampa de la gente por tonta.
Ver originalesResponder0
StablecoinAnxiety
· 07-21 15:56
Sin palabras, eh, otro error.
Ver originalesResponder0
StakeWhisperer
· 07-21 15:55
Los contratos son buenos, se pierde poco.
Ver originalesResponder0
BackrowObserver
· 07-21 15:53
Las pérdidas no son suficientes para comprarme una botella de bebida.
Ver originalesResponder0
ConsensusDissenter
· 07-21 15:52
¿Los problemas de contrato son un tema recurrente cada año?
Análisis de los riesgos de seguridad en los contratos NFT: observando los eventos frecuentes para identificar vulnerabilidades comunes y medidas de prevención
Análisis de seguridad de contratos NFT y discusión sobre problemas comunes
En la primera mitad de 2022, los eventos de seguridad en el ámbito de NFT ocurrieron con frecuencia, causando pérdidas significativas a la industria. Según las estadísticas, se produjeron un total de 10 incidentes de seguridad importantes durante este período, resultando en pérdidas de aproximadamente 64.9 millones de dólares. Los métodos de ataque incluyeron principalmente la explotación de vulnerabilidades en contratos, la filtración de claves privadas y el phishing, entre otros. Cabe destacar que los ataques de phishing en la plataforma Discord fueron especialmente rampantes, con servidores siendo atacados casi a diario, lo que llevó a pérdidas frecuentes para los usuarios individuales.
En estos eventos de seguridad, hay algunos que son especialmente notables:
Evento TreasureDAO: Debido a la confusión lógica causada por la mezcla de tokens ERC-1155 y ERC-721, los hackers lograron robar más de 100 NFT.
Evento de airdrop de APE Coin: un hacker utilizó un préstamo relámpago para obtener más de 60,000 APE Coin en airdrop. Esto expuso una vulnerabilidad en el contrato de airdrop al determinar la propiedad de NFT.
Evento de Revest Finance: debido a una vulnerabilidad de reentrada ERC-1155, el proyecto perdió aproximadamente 120,000 dólares.
El proyecto de la NBA sufrió un ataque: problemas de suplantación de firmas y reutilización llevaron a la invalidez de la verificación de la lista blanca.
Incidente Akutar: Debido a un error lógico en el contrato inteligente, aproximadamente 34 millones de dólares en activos quedaron bloqueados en el contrato.
Evento de XCarnival: una vulnerabilidad en la lógica del contrato permitió a los hackers obtener aproximadamente 3.8 millones de dólares.
Estos eventos revelan algunos problemas comunes en el diseño y la implementación de contratos NFT. Los equipos de auditoría profesionales a menudo encuentran las siguientes categorías de problemas al revisar contratos NFT:
Suplantación y reutilización de firmas: la falta de verificación de ejecución repetida o revisiones de firma poco razonables, lo que provoca que las firmas puedan ser utilizadas múltiples veces o ser verificadas por cualquier usuario.
Vulnerabilidades lógicas: como un control inadecuado de la cantidad total de monedas, fallos en el proceso de subasta, etc.
Ataques de reentrada ERC721/ERC1155: Se pueden provocar ataques de reentrada al utilizar la función de notificación de transferencia.
Alcance de autorización excesivo: los usuarios pueden ser requeridos a otorgar autorizaciones excesivas en ciertas operaciones, lo que aumenta el riesgo de robo de NFT.
Manipulación de precios: Cuando el precio del NFT depende de ciertos factores que pueden ser manipulados, puede llevar a liquidaciones anormales.
Estos problemas aparecen con frecuencia en ataques reales, lo que resalta la importancia de realizar auditorías de seguridad profesionales en los contratos de NFT. Las partes del proyecto deben dar importancia a la seguridad de los contratos y elegir empresas de seguridad profesionales para realizar auditorías exhaustivas, con el fin de reducir los riesgos de seguridad y proteger los intereses de los usuarios.