Análise de segurança de contratos NFT e discussão de questões comuns
No primeiro semestre de 2022, ocorreram muitos incidentes de segurança no campo dos NFT, causando perdas significativas para a indústria. De acordo com as estatísticas, houve um total de 10 incidentes de segurança principais nesse período, resultando em uma perda de cerca de 64,9 milhões de dólares. Os métodos de ataque incluíram principalmente a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing, entre outros. Vale a pena notar que os ataques de phishing na plataforma Discord eram particularmente comuns, com servidores sendo atacados quase todos os dias, resultando em perdas frequentes para usuários individuais.
Entre esses eventos de segurança, alguns foram especialmente notáveis:
Evento TreasureDAO: Devido à confusão lógica causada pela utilização mista de tokens ERC-1155 e ERC-721, hackers conseguiram roubar mais de 100 NFTs.
Evento de airdrop do APE Coin: um hacker utilizou um empréstimo relâmpago para obter mais de 60.000 APE Coin no airdrop. Isso expôs uma falha no contrato de airdrop ao determinar a propriedade do NFT.
Evento Revest Finance: devido a uma vulnerabilidade de reentrada ERC-1155, o projeto perdeu cerca de 120 mil dólares.
Projeto NBA sofre ataque: problemas de uso indevido e reutilização de assinaturas levam à falha na verificação da lista branca.
Evento Akutar: Devido a uma falha na lógica do contrato inteligente, aproximadamente 34 milhões de dólares em ativos foram bloqueados no contrato.
Evento XCarnival: falha lógica no contrato leva a um lucro de cerca de 3,8 milhões de dólares para o hacker.
Esses eventos revelam alguns problemas comuns que existem no design e na implementação de contratos NFT. Equipes de auditoria profissionais frequentemente encontram as seguintes categorias de problemas ao revisar contratos NFT:
Falsificação e reutilização de assinaturas: a falta de verificação de execução repetida ou a verificação de assinaturas inadequada pode levar a que a assinatura seja utilizada várias vezes ou verificada por qualquer usuário.
Falhas lógicas: como controle inadequado da quantidade total de moedas, falhas no processo de leilão, etc.
Ataque de reentrada ERC721/ERC1155: Pode ocorrer um ataque de reentrada ao usar a função de notificação de transferência.
Escopo de autorização excessivo: Os usuários podem ser solicitados a conceder autorizações excessivas em certas operações, aumentando o risco de roubo de NFTs.
Manipulação de preços: Quando o preço do NFT depende de certos fatores que podem ser manipulados, isso pode levar a liquidações anormais.
Esses problemas aparecem frequentemente em ataques reais, destacando a importância de realizar auditorias de segurança profissional em contratos NFT. As equipes do projeto devem dar importância à segurança dos contratos, escolhendo empresas de segurança profissionais para auditorias abrangentes, a fim de reduzir riscos de segurança e proteger os interesses dos usuários.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
21 Curtidas
Recompensa
21
7
Repostar
Compartilhar
Comentário
0/400
MintMaster
· 07-24 15:08
É um roubo à luz do dia.
Ver originalResponder0
notSatoshi1971
· 07-22 22:16
Outra vez contratos inteligentes foram hk
Ver originalResponder0
GateUser-afe07a92
· 07-22 12:22
Ser enganado por idiotas de armadilha novamente.
Ver originalResponder0
StablecoinAnxiety
· 07-21 15:56
Sem palavras, ha... mais uma falha.
Ver originalResponder0
StakeWhisperer
· 07-21 15:55
Se a auditoria do contrato for boa, perderá pouco dinheiro.
Ver originalResponder0
BackrowObserver
· 07-21 15:53
As perdas não são suficientes para eu comprar uma garrafa de bebida.
Análise das vulnerabilidades de segurança dos contratos NFT: uma visão sobre as falhas comuns e a prevenção a partir de eventos frequentes
Análise de segurança de contratos NFT e discussão de questões comuns
No primeiro semestre de 2022, ocorreram muitos incidentes de segurança no campo dos NFT, causando perdas significativas para a indústria. De acordo com as estatísticas, houve um total de 10 incidentes de segurança principais nesse período, resultando em uma perda de cerca de 64,9 milhões de dólares. Os métodos de ataque incluíram principalmente a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing, entre outros. Vale a pena notar que os ataques de phishing na plataforma Discord eram particularmente comuns, com servidores sendo atacados quase todos os dias, resultando em perdas frequentes para usuários individuais.
Entre esses eventos de segurança, alguns foram especialmente notáveis:
Evento TreasureDAO: Devido à confusão lógica causada pela utilização mista de tokens ERC-1155 e ERC-721, hackers conseguiram roubar mais de 100 NFTs.
Evento de airdrop do APE Coin: um hacker utilizou um empréstimo relâmpago para obter mais de 60.000 APE Coin no airdrop. Isso expôs uma falha no contrato de airdrop ao determinar a propriedade do NFT.
Evento Revest Finance: devido a uma vulnerabilidade de reentrada ERC-1155, o projeto perdeu cerca de 120 mil dólares.
Projeto NBA sofre ataque: problemas de uso indevido e reutilização de assinaturas levam à falha na verificação da lista branca.
Evento Akutar: Devido a uma falha na lógica do contrato inteligente, aproximadamente 34 milhões de dólares em ativos foram bloqueados no contrato.
Evento XCarnival: falha lógica no contrato leva a um lucro de cerca de 3,8 milhões de dólares para o hacker.
Esses eventos revelam alguns problemas comuns que existem no design e na implementação de contratos NFT. Equipes de auditoria profissionais frequentemente encontram as seguintes categorias de problemas ao revisar contratos NFT:
Falsificação e reutilização de assinaturas: a falta de verificação de execução repetida ou a verificação de assinaturas inadequada pode levar a que a assinatura seja utilizada várias vezes ou verificada por qualquer usuário.
Falhas lógicas: como controle inadequado da quantidade total de moedas, falhas no processo de leilão, etc.
Ataque de reentrada ERC721/ERC1155: Pode ocorrer um ataque de reentrada ao usar a função de notificação de transferência.
Escopo de autorização excessivo: Os usuários podem ser solicitados a conceder autorizações excessivas em certas operações, aumentando o risco de roubo de NFTs.
Manipulação de preços: Quando o preço do NFT depende de certos fatores que podem ser manipulados, isso pode levar a liquidações anormais.
Esses problemas aparecem frequentemente em ataques reais, destacando a importância de realizar auditorias de segurança profissional em contratos NFT. As equipes do projeto devem dar importância à segurança dos contratos, escolhendo empresas de segurança profissionais para auditorias abrangentes, a fim de reduzir riscos de segurança e proteger os interesses dos usuários.