Analyse de la sécurité des contrats NFT et discussion sur les problèmes courants
Au cours du premier semestre 2022, le domaine des NFT a connu de nombreux incidents de sécurité, entraînant des pertes considérables pour l'industrie. Selon les statistiques, 10 incidents de sécurité majeurs ont eu lieu pendant cette période, entraînant des pertes d'environ 64,9 millions de dollars. Les méthodes d'attaque comprenaient principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing. Il convient de noter que les attaques de phishing sur la plateforme Discord étaient particulièrement répandues, avec presque chaque jour des serveurs attaqués, entraînant des pertes fréquentes pour les utilisateurs individuels.
Parmi ces incidents de sécurité, plusieurs sont particulièrement remarquables :
Événement TreasureDAO : en raison de la confusion logique causée par l'utilisation mixte des tokens ERC-1155 et ERC-721, un hacker a réussi à voler plus de 100 NFT.
Événement d'airdrop APE Coin : Un hacker a utilisé un prêt éclair pour obtenir plus de 60 000 APE Coin en airdrop. Cela a exposé une faille dans le contrat d'airdrop lors de la détermination de la propriété des NFT.
Événement Revest Finance : En raison d'une vulnérabilité de réentrance ERC-1155, le projet a subi une perte d'environ 120 000 $.
Projet NBA attaqué : problèmes de falsification et de réutilisation de signatures entraînant l'échec de la vérification de la liste blanche.
Événement Akutar : En raison d'une vulnérabilité logique dans le contrat intelligent, environ 34 millions de dollars d'actifs ont été bloqués dans le contrat.
Événement XCarnival : une vulnérabilité logique dans le contrat a permis aux hackers de réaliser un profit d'environ 3,8 millions de dollars.
Ces événements révèlent certains problèmes courants dans la conception et la mise en œuvre des contrats NFT. Les équipes d'audit professionnelles découvrent souvent les types de problèmes suivants lors de l'examen des contrats NFT :
Usurpation et réutilisation de signature : absence de vérification des exécutions répétées ou vérification de signature inappropriée, entraînant une utilisation multiple de la signature ou la possibilité d'être vérifiée par n'importe quel utilisateur.
Vulnérabilités logiques : telles que le contrôle inapproprié de l'offre totale de pièces, les failles dans le processus d'enchères, etc.
Attaque de réentrance ERC721/ERC1155 : L'utilisation de la fonction de notification de transfert peut entraîner une attaque de réentrance.
Portée de l'autorisation trop large : les utilisateurs peuvent être amenés à accorder des autorisations excessives dans certaines opérations, augmentant le risque de vol de NFT.
Manipulation des prix : Lorsque le prix des NFT dépend de certains facteurs pouvant être manipulés, cela peut entraîner des liquidations anormales.
Ces problèmes surviennent fréquemment lors des attaques réelles, soulignant l'importance d'un audit de sécurité professionnel des contrats NFT. Les équipes de projet devraient accorder de l'importance à la sécurité des contrats et choisir des entreprises de sécurité professionnelles pour effectuer un audit complet afin de réduire les risques de sécurité et de protéger les intérêts des utilisateurs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
21 J'aime
Récompense
21
7
Reposter
Partager
Commentaire
0/400
MintMaster
· 07-24 15:08
C'est du vol à main armée de nos jours.
Voir l'originalRépondre0
notSatoshi1971
· 07-22 22:16
Encore vu les smart contracts être hk
Voir l'originalRépondre0
GateUser-afe07a92
· 07-22 12:22
Se faire prendre pour des cons de nouvelles façons.
Voir l'originalRépondre0
StablecoinAnxiety
· 07-21 15:56
Je suis sans voix, encore une faille.
Voir l'originalRépondre0
StakeWhisperer
· 07-21 15:55
Un bon audit de contrat, peu de pertes.
Voir l'originalRépondre0
BackrowObserver
· 07-21 15:53
Les pertes ne suffisent même pas à me payer une bouteille de boisson.
Analyse des risques de sécurité des contrats NFT : examen des vulnérabilités courantes et des mesures de prévention à partir des incidents fréquents.
Analyse de la sécurité des contrats NFT et discussion sur les problèmes courants
Au cours du premier semestre 2022, le domaine des NFT a connu de nombreux incidents de sécurité, entraînant des pertes considérables pour l'industrie. Selon les statistiques, 10 incidents de sécurité majeurs ont eu lieu pendant cette période, entraînant des pertes d'environ 64,9 millions de dollars. Les méthodes d'attaque comprenaient principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing. Il convient de noter que les attaques de phishing sur la plateforme Discord étaient particulièrement répandues, avec presque chaque jour des serveurs attaqués, entraînant des pertes fréquentes pour les utilisateurs individuels.
Parmi ces incidents de sécurité, plusieurs sont particulièrement remarquables :
Événement TreasureDAO : en raison de la confusion logique causée par l'utilisation mixte des tokens ERC-1155 et ERC-721, un hacker a réussi à voler plus de 100 NFT.
Événement d'airdrop APE Coin : Un hacker a utilisé un prêt éclair pour obtenir plus de 60 000 APE Coin en airdrop. Cela a exposé une faille dans le contrat d'airdrop lors de la détermination de la propriété des NFT.
Événement Revest Finance : En raison d'une vulnérabilité de réentrance ERC-1155, le projet a subi une perte d'environ 120 000 $.
Projet NBA attaqué : problèmes de falsification et de réutilisation de signatures entraînant l'échec de la vérification de la liste blanche.
Événement Akutar : En raison d'une vulnérabilité logique dans le contrat intelligent, environ 34 millions de dollars d'actifs ont été bloqués dans le contrat.
Événement XCarnival : une vulnérabilité logique dans le contrat a permis aux hackers de réaliser un profit d'environ 3,8 millions de dollars.
Ces événements révèlent certains problèmes courants dans la conception et la mise en œuvre des contrats NFT. Les équipes d'audit professionnelles découvrent souvent les types de problèmes suivants lors de l'examen des contrats NFT :
Usurpation et réutilisation de signature : absence de vérification des exécutions répétées ou vérification de signature inappropriée, entraînant une utilisation multiple de la signature ou la possibilité d'être vérifiée par n'importe quel utilisateur.
Vulnérabilités logiques : telles que le contrôle inapproprié de l'offre totale de pièces, les failles dans le processus d'enchères, etc.
Attaque de réentrance ERC721/ERC1155 : L'utilisation de la fonction de notification de transfert peut entraîner une attaque de réentrance.
Portée de l'autorisation trop large : les utilisateurs peuvent être amenés à accorder des autorisations excessives dans certaines opérations, augmentant le risque de vol de NFT.
Manipulation des prix : Lorsque le prix des NFT dépend de certains facteurs pouvant être manipulés, cela peut entraîner des liquidations anormales.
Ces problèmes surviennent fréquemment lors des attaques réelles, soulignant l'importance d'un audit de sécurité professionnel des contrats NFT. Les équipes de projet devraient accorder de l'importance à la sécurité des contrats et choisir des entreprises de sécurité professionnelles pour effectuer un audit complet afin de réduire les risques de sécurité et de protéger les intérêts des utilisateurs.