Des failles de sécurité dans les contrats NFT apparaissent fréquemment, avec des pertes de près de 65 millions de dollars au cours du premier semestre 2022.
Analyse des vulnérabilités de sécurité des contrats NFT et cas typiques
Au cours du premier semestre 2022, des incidents de sécurité dans le domaine des NFT se sont multipliés, entraînant des pertes économiques importantes. Selon les statistiques, il y a eu 10 incidents de sécurité majeurs, avec des pertes totales d'environ 6,49 millions de dollars. Les méthodes d'attaque comprennent principalement l'exploitation de vulnérabilités contractuelles, la fuite de clés privées et le phishing. Il convient de noter que les attaques de phishing sur la plateforme Discord se produisent presque tous les jours, causant des pertes non négligeables aux utilisateurs individuels.
Analyse des incidents de sécurité typiques
événement TreasureDAO
Le 3 mars 2022, la plateforme d'échange TreasureDAO a été attaquée, entraînant le vol de plus de 100 NFT. La cause fondamentale de l'incident est la confusion logique résultant de l'utilisation mixte des jetons ERC-1155 et ERC-721. Le contrat, en traitant le prix d'achat des jetons, n'a pas distingué les caractéristiques de ces deux types de jetons, considérant à tort les jetons ERC-721 comme des jetons ayant un concept de quantité.
Événement d'airdrop APE Coin
Le 17 mars 2022, des hackers ont obtenu plus de 60 000 APE Coin en airdrop grâce à un prêt flash. La vulnérabilité se trouvait dans le contrat d'airdrop, qui ne déterminait l'éligibilité à l'airdrop qu'en vérifiant le solde actuel des NFT de l'utilisateur, une méthode facilement manipulable par des prêts flash.
événement Revest Finance
Le 27 mars 2022, Revest Finance a été attaqué, entraînant une perte d'environ 120 000 dollars. Il s'agit d'une attaque de réinjection typique ERC-1155. Pendant le processus de minting FNFT, le contrat n'a pas réussi à gérer correctement l'auto-incrémentation de l'ID de token et la vérification de son existence, ce qui a conduit à une vulnérabilité de réinjection.
événement de profiter de la NBA
Le 21 avril 2022, le projet NBA a été attaqué. Le problème réside dans le mécanisme de signature de validation de la liste blanche, avec deux problèmes principaux : l'usurpation de signature et la réutilisation de signature. Le contrat n'a pas stocké les signatures déjà utilisées et n'a pas vérifié l'expéditeur du message lors de la validation, permettant ainsi aux attaquants de réutiliser ou d'usurper des signatures.
événement Akutar
Le 23 avril 2022, le projet Akutar a vu environ 34 millions de dollars d'actifs bloqués en raison d'une faille dans le contrat intelligent. Le principal problème résidait dans la conception logique inappropriée de la fonction de remboursement, qui ne pouvait pas gérer les cas de multiples enchères et était facilement susceptible d'être interrompue de manière malveillante.
événement XCarnival
Le 24 juin 2022, XCarnival a été attaqué, entraînant une perte d'environ 3,8 millions de dollars. La vulnérabilité résidait dans le fait que le contrat ne vérifiait pas strictement les adresses NFT mises en jeu et l'état des enregistrements de garantie, permettant aux attaquants d'utiliser à plusieurs reprises des enregistrements de garantie invalides pour emprunter.
Problèmes de sécurité courants des contrats NFT
Usurpation et réutilisation des signatures : manque de vérification de la réutilisation des signatures, logique de vérification des signatures non rigoureuse.
Vulnérabilité logique : un mode de frappe spécial contourne la limite de quantité totale, et l'ordre des transactions durant le processus d'enchères dépend d'une attaque.
Attaque de réentrance ERC721/ERC1155 : risque de réentrance potentiel dans la fonction de notification de transfert.
Autorisation excessive : demander aux utilisateurs de fournir des autorisations complètes inutiles, augmentant le risque de vol de NFT.
Manipulation des prix : Les prix des NFT dépendent d'indicateurs facilement manipulables, ce qui peut entraîner des liquidations anormales.
Étant donné la complexité et les risques potentiels des contrats NFT, les équipes de projet doivent accorder une grande importance à l'audit de sécurité des contrats intelligents, en engageant des équipes de sécurité professionnelles pour effectuer des vérifications complètes afin de prévenir d'éventuelles attaques et pertes.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
8 J'aime
Récompense
8
8
Partager
Commentaire
0/400
ser_ngmi
· 07-18 10:08
Encore une fois, couper les coupons sur discord = =
Voir l'originalRépondre0
DefiPlaybook
· 07-16 19:28
Des données éblouissantes, perte de 64,90 millions de dollars en six mois
Voir l'originalRépondre0
MemeTokenGenius
· 07-15 14:56
Il est vraiment difficile de gagner de l'argent propre à notre époque.
Voir l'originalRépondre0
OptionWhisperer
· 07-15 14:50
C'est ridicule, juste parce que le code est mal écrit, on a perdu près d'un milliard.
Voir l'originalRépondre0
GasFeeCryer
· 07-15 14:50
Encore un smart contract qui a été subtilisé pour plusieurs milliards. Tss tss.
Voir l'originalRépondre0
GasFeeCry
· 07-15 14:47
Encore une vague de se faire prendre pour des cons.
Voir l'originalRépondre0
VibesOverCharts
· 07-15 14:45
Un voleur de fonds, les joueurs en pâtissent~
Voir l'originalRépondre0
DaoDeveloper
· 07-15 14:35
je viens d'auditer l'exploitation de treasuredao... smh ces vulnérabilités de mélange ERC deviennent vraiment incontrôlables
Des failles de sécurité dans les contrats NFT apparaissent fréquemment, avec des pertes de près de 65 millions de dollars au cours du premier semestre 2022.
Analyse des vulnérabilités de sécurité des contrats NFT et cas typiques
Au cours du premier semestre 2022, des incidents de sécurité dans le domaine des NFT se sont multipliés, entraînant des pertes économiques importantes. Selon les statistiques, il y a eu 10 incidents de sécurité majeurs, avec des pertes totales d'environ 6,49 millions de dollars. Les méthodes d'attaque comprennent principalement l'exploitation de vulnérabilités contractuelles, la fuite de clés privées et le phishing. Il convient de noter que les attaques de phishing sur la plateforme Discord se produisent presque tous les jours, causant des pertes non négligeables aux utilisateurs individuels.
Analyse des incidents de sécurité typiques
événement TreasureDAO
Le 3 mars 2022, la plateforme d'échange TreasureDAO a été attaquée, entraînant le vol de plus de 100 NFT. La cause fondamentale de l'incident est la confusion logique résultant de l'utilisation mixte des jetons ERC-1155 et ERC-721. Le contrat, en traitant le prix d'achat des jetons, n'a pas distingué les caractéristiques de ces deux types de jetons, considérant à tort les jetons ERC-721 comme des jetons ayant un concept de quantité.
Événement d'airdrop APE Coin
Le 17 mars 2022, des hackers ont obtenu plus de 60 000 APE Coin en airdrop grâce à un prêt flash. La vulnérabilité se trouvait dans le contrat d'airdrop, qui ne déterminait l'éligibilité à l'airdrop qu'en vérifiant le solde actuel des NFT de l'utilisateur, une méthode facilement manipulable par des prêts flash.
événement Revest Finance
Le 27 mars 2022, Revest Finance a été attaqué, entraînant une perte d'environ 120 000 dollars. Il s'agit d'une attaque de réinjection typique ERC-1155. Pendant le processus de minting FNFT, le contrat n'a pas réussi à gérer correctement l'auto-incrémentation de l'ID de token et la vérification de son existence, ce qui a conduit à une vulnérabilité de réinjection.
événement de profiter de la NBA
Le 21 avril 2022, le projet NBA a été attaqué. Le problème réside dans le mécanisme de signature de validation de la liste blanche, avec deux problèmes principaux : l'usurpation de signature et la réutilisation de signature. Le contrat n'a pas stocké les signatures déjà utilisées et n'a pas vérifié l'expéditeur du message lors de la validation, permettant ainsi aux attaquants de réutiliser ou d'usurper des signatures.
événement Akutar
Le 23 avril 2022, le projet Akutar a vu environ 34 millions de dollars d'actifs bloqués en raison d'une faille dans le contrat intelligent. Le principal problème résidait dans la conception logique inappropriée de la fonction de remboursement, qui ne pouvait pas gérer les cas de multiples enchères et était facilement susceptible d'être interrompue de manière malveillante.
événement XCarnival
Le 24 juin 2022, XCarnival a été attaqué, entraînant une perte d'environ 3,8 millions de dollars. La vulnérabilité résidait dans le fait que le contrat ne vérifiait pas strictement les adresses NFT mises en jeu et l'état des enregistrements de garantie, permettant aux attaquants d'utiliser à plusieurs reprises des enregistrements de garantie invalides pour emprunter.
Problèmes de sécurité courants des contrats NFT
Usurpation et réutilisation des signatures : manque de vérification de la réutilisation des signatures, logique de vérification des signatures non rigoureuse.
Vulnérabilité logique : un mode de frappe spécial contourne la limite de quantité totale, et l'ordre des transactions durant le processus d'enchères dépend d'une attaque.
Attaque de réentrance ERC721/ERC1155 : risque de réentrance potentiel dans la fonction de notification de transfert.
Autorisation excessive : demander aux utilisateurs de fournir des autorisations complètes inutiles, augmentant le risque de vol de NFT.
Manipulation des prix : Les prix des NFT dépendent d'indicateurs facilement manipulables, ce qui peut entraîner des liquidations anormales.
Étant donné la complexité et les risques potentiels des contrats NFT, les équipes de projet doivent accorder une grande importance à l'audit de sécurité des contrats intelligents, en engageant des équipes de sécurité professionnelles pour effectuer des vérifications complètes afin de prévenir d'éventuelles attaques et pertes.