Análise de vulnerabilidades de segurança em contratos NFT e casos típicos
No primeiro semestre de 2022, ocorreram frequentes incidentes de segurança na área de NFT, resultando em perdas econômicas significativas. Segundo estatísticas, houve um total de 10 incidentes de segurança principais, com perdas totais de aproximadamente 64,9 milhões de dólares. As principais formas de ataque incluíram a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing, entre outros. Vale ressaltar que ataques de phishing na plataforma Discord acontecem quase diariamente, causando perdas consideráveis para usuários individuais.
Análise de Eventos de Segurança Típicos
Evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi atacada, resultando no roubo de mais de 100 NFTs. A causa fundamental do incidente foi a confusão lógica gerada pela mistura de tokens ERC-1155 e ERC-721. O contrato, ao lidar com o preço de compra dos tokens, não diferenciou as características desses dois tipos de tokens, tratando erroneamente os tokens ERC-721 como se tivessem um conceito de quantidade.
evento de airdrop do APE Coin
Em 17 de março de 2022, hackers obtiveram mais de 60.000 APE Coin a partir de um airdrop através de um empréstimo relâmpago. A vulnerabilidade estava no contrato de airdrop, que apenas verificava o saldo atual de NFT dos usuários para determinar a elegibilidade para o airdrop, e esse método é suscetível a manipulação por empréstimos relâmpago.
Evento Revest Finance
No dia 27 de março de 2022, a Revest Finance foi atacada, resultando em perdas de cerca de 120.000 dólares. Este é um ataque de reentrada típico do ERC-1155. Durante o processo de cunhagem de FNFT, o contrato falhou em tratar corretamente a auto-incrementação do ID do token e a verificação de existência, levando a uma vulnerabilidade de reentrada.
Evento NBA de ganhar recompensas
No dia 21 de abril de 2022, o projeto da NBA sofreu um ataque. O problema residia no mecanismo de assinatura da verificação da lista branca, que apresentava dois problemas principais: uso indevido e reutilização de assinaturas. O contrato não armazenava as assinaturas já utilizadas e, durante a verificação, não verificava o remetente da mensagem, permitindo que os atacantes reutilizassem ou fizessem uso indevido das assinaturas.
Evento Akutar
No dia 23 de abril de 2022, o projeto Akutar teve aproximadamente 34 milhões de dólares em ativos bloqueados devido a uma vulnerabilidade no contrato inteligente. O principal problema estava no design inadequado da lógica da função de reembolso, que não conseguia lidar com situações de múltiplas licitações e era suscetível a interrupções maliciosas.
Evento XCarnival
No dia 24 de junho de 2022, o XCarnival foi atacado, resultando em uma perda de cerca de 3,8 milhões de dólares. A vulnerabilidade estava na falta de uma verificação rigorosa do endereço da NFT em garantia e do estado do registro de colateral no contrato, permitindo que os atacantes utilizassem repetidamente registros de colateral inválidos para empréstimos.
Problemas de segurança comuns em contratos NFT
Uso indevido e reutilização de assinaturas: falta de verificação de repetição de assinaturas, lógica de validação de assinaturas não rigorosa.
Falha lógica: um método especial de cunhagem que contorna o limite total, a ordem das transações durante o leilão depende de um ataque.
Ataque de reentrada ERC721/ERC1155: pode haver risco de reentrada na função de notificação de transferência.
Autorizações excessivas: exigir que os usuários concedam autorizações abrangentes desnecessárias, aumentando o risco de roubo de NFTs.
Manipulação de preços: O preço dos NFTs depende de indicadores suscetíveis a manipulação, o que pode levar a liquidações anormais.
Dada a complexidade e os potenciais riscos dos contratos NFT, as partes do projeto devem dar importância à auditoria de segurança dos contratos inteligentes, contratando uma equipe de segurança profissional para realizar uma verificação completa, a fim de prevenir possíveis ataques e perdas.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
8 gostos
Recompensa
8
8
Partilhar
Comentar
0/400
ser_ngmi
· 07-18 10:08
又是discordCupões de Recorte= =
Ver originalResponder0
DefiPlaybook
· 07-16 19:28
Dados ofuscantes, perda de 6490w dólares em seis meses
Ver originalResponder0
MemeTokenGenius
· 07-15 14:56
Ganha-se dinheiro limpo com dificuldade nesta época.
Ver originalResponder0
OptionWhisperer
· 07-15 14:50
Longe da realidade, só porque o código foi mal escrito, perderam quase um milhão.
Ver originalResponder0
GasFeeCryer
· 07-15 14:50
Mais um contrato inteligente foi levado de alguns milhões. Ts ts.
Ver originalResponder0
GasFeeCry
· 07-15 14:47
Outra onda de ser enganado por idiotas, não é?
Ver originalResponder0
VibesOverCharts
· 07-15 14:45
Ladrões a fazer dinheiro, jogadores a sofrer...
Ver originalResponder0
DaoDeveloper
· 07-15 14:35
acabei de auditar a exploração do treasuredao... smh estas vulnerabilidades de mistura erc estão a sair do controle fr
Vulnerabilidades de segurança nos contratos NFT ocorrem frequentemente, causando perdas de quase 65 milhões de dólares no primeiro semestre de 2022.
Análise de vulnerabilidades de segurança em contratos NFT e casos típicos
No primeiro semestre de 2022, ocorreram frequentes incidentes de segurança na área de NFT, resultando em perdas econômicas significativas. Segundo estatísticas, houve um total de 10 incidentes de segurança principais, com perdas totais de aproximadamente 64,9 milhões de dólares. As principais formas de ataque incluíram a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing, entre outros. Vale ressaltar que ataques de phishing na plataforma Discord acontecem quase diariamente, causando perdas consideráveis para usuários individuais.
Análise de Eventos de Segurança Típicos
Evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi atacada, resultando no roubo de mais de 100 NFTs. A causa fundamental do incidente foi a confusão lógica gerada pela mistura de tokens ERC-1155 e ERC-721. O contrato, ao lidar com o preço de compra dos tokens, não diferenciou as características desses dois tipos de tokens, tratando erroneamente os tokens ERC-721 como se tivessem um conceito de quantidade.
evento de airdrop do APE Coin
Em 17 de março de 2022, hackers obtiveram mais de 60.000 APE Coin a partir de um airdrop através de um empréstimo relâmpago. A vulnerabilidade estava no contrato de airdrop, que apenas verificava o saldo atual de NFT dos usuários para determinar a elegibilidade para o airdrop, e esse método é suscetível a manipulação por empréstimos relâmpago.
Evento Revest Finance
No dia 27 de março de 2022, a Revest Finance foi atacada, resultando em perdas de cerca de 120.000 dólares. Este é um ataque de reentrada típico do ERC-1155. Durante o processo de cunhagem de FNFT, o contrato falhou em tratar corretamente a auto-incrementação do ID do token e a verificação de existência, levando a uma vulnerabilidade de reentrada.
Evento NBA de ganhar recompensas
No dia 21 de abril de 2022, o projeto da NBA sofreu um ataque. O problema residia no mecanismo de assinatura da verificação da lista branca, que apresentava dois problemas principais: uso indevido e reutilização de assinaturas. O contrato não armazenava as assinaturas já utilizadas e, durante a verificação, não verificava o remetente da mensagem, permitindo que os atacantes reutilizassem ou fizessem uso indevido das assinaturas.
Evento Akutar
No dia 23 de abril de 2022, o projeto Akutar teve aproximadamente 34 milhões de dólares em ativos bloqueados devido a uma vulnerabilidade no contrato inteligente. O principal problema estava no design inadequado da lógica da função de reembolso, que não conseguia lidar com situações de múltiplas licitações e era suscetível a interrupções maliciosas.
Evento XCarnival
No dia 24 de junho de 2022, o XCarnival foi atacado, resultando em uma perda de cerca de 3,8 milhões de dólares. A vulnerabilidade estava na falta de uma verificação rigorosa do endereço da NFT em garantia e do estado do registro de colateral no contrato, permitindo que os atacantes utilizassem repetidamente registros de colateral inválidos para empréstimos.
Problemas de segurança comuns em contratos NFT
Uso indevido e reutilização de assinaturas: falta de verificação de repetição de assinaturas, lógica de validação de assinaturas não rigorosa.
Falha lógica: um método especial de cunhagem que contorna o limite total, a ordem das transações durante o leilão depende de um ataque.
Ataque de reentrada ERC721/ERC1155: pode haver risco de reentrada na função de notificação de transferência.
Autorizações excessivas: exigir que os usuários concedam autorizações abrangentes desnecessárias, aumentando o risco de roubo de NFTs.
Manipulação de preços: O preço dos NFTs depende de indicadores suscetíveis a manipulação, o que pode levar a liquidações anormais.
Dada a complexidade e os potenciais riscos dos contratos NFT, as partes do projeto devem dar importância à auditoria de segurança dos contratos inteligentes, contratando uma equipe de segurança profissional para realizar uma verificação completa, a fim de prevenir possíveis ataques e perdas.