Problemas comunes y análisis de casos típicos en la auditoría de seguridad de contratos NFT
Recientemente, han ocurrido numerosos incidentes de seguridad en el ámbito de los NFT, lo que ha causado enormes pérdidas económicas. Según los datos de monitoreo de seguridad en blockchain, en la primera mitad de 2022 se registraron 10 incidentes de seguridad importantes relacionados con los NFT, que causaron pérdidas de aproximadamente 64.9 millones de dólares. Los principales métodos de ataque en estos incidentes incluyen la explotación de vulnerabilidades en los contratos, la filtración de claves privadas y el phishing.
Análisis de eventos de seguridad típicos
evento TreasureDAO
El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada, lo que resultó en el robo de más de 100 NFT. La vulnerabilidad se originó en un error lógico en el contrato TreasureMarketplaceBuyer, que no distinguía correctamente entre los tokens ERC-1155 y ERC-721, lo que permitió a los atacantes comprar NFT sin pagar.
evento de airdrop de APE Coin
El 17 de marzo de 2022, los atacantes utilizaron un préstamo relámpago para obtener más de 60,000 tokens APE Coin de un airdrop. El problema radicó en el contrato de AirdropGrapesToken, donde la determinación de elegibilidad para el airdrop se basó únicamente en un estado temporal, siendo manipulado por los atacantes mediante un préstamo relámpago.
Evento de Revest Finance
El 27 de marzo de 2022, Revest Finance fue atacado, con pérdidas de aproximadamente 120,000 dólares. La vulnerabilidad involucró un ataque de reentrada ERC-1155, derivado de que el contrato no manejó correctamente el orden de cambio de estado al acuñar nuevos FNFT.
evento NBA de aprovecharse
El 21 de abril de 2022, el proyecto de la NBA sufrió un ataque. El problema radica en el mecanismo de verificación de firma del contrato The_Association_Sales, que presenta riesgos de suplantación y reutilización de firmas.
evento Akutar
El 23 de abril de 2022, el contrato de AkuAuction del proyecto Akutar tuvo una vulnerabilidad lógica en su debido, lo que resultó en el bloqueo de 11539 ETH (aproximadamente 34 millones de dólares). Los principales problemas incluyen defectos en el diseño de la función de reembolso y la falta de consideración de las múltiples pujas de los usuarios.
XCarnival evento
El 24 de junio de 2022, el protocolo de préstamo NFT XCarnival fue atacado, con una pérdida de aproximadamente 3.8 millones de dólares. La función pledgeAndBorrow en el contrato XNFT contenía una vulnerabilidad lógica que no verificaba correctamente la validez de los NFT en garantía.
Preguntas frecuentes sobre la auditoría de contratos NFT
Suplantación y reutilización de firmas:
Falta la verificación de reutilización de firma
La lógica de verificación de firmas no es rigurosa
Brecha lógica:
Control inadecuado de la cantidad de acuñación
El orden de las transacciones durante el proceso de subasta depende de los ataques
Ataque de reentrada ERC721/ERC1155:
La función de notificación de transferencia puede causar reentrada
El alcance de la autorización es demasiado amplio:
La autorización global innecesaria aumenta el riesgo de seguridad
Manipulación de precios:
El precio de NFT depende de factores externos que pueden ser manipulados
Estos problemas son a menudo explotados por los hackers en ataques reales. Por lo tanto, realizar auditorías de seguridad profesionales en proyectos de NFT es crucial, ya que puede prevenir eficazmente posibles riesgos de seguridad y proteger la seguridad de los activos de los usuarios.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
11 me gusta
Recompensa
11
4
Republicar
Compartir
Comentar
0/400
GasWaster
· hace2h
perdí más eth en transacciones fallidas que el valor de mi cartera smh... otro día, otro contrato inteligente rekt
Ver originalesResponder0
zkProofInThePudding
· hace9h
Otra vez es un exploit para obtener NFT gratis.
Ver originalesResponder0
AlwaysAnon
· hace9h
Robando, robando, solo se obtiene gratis.
Ver originalesResponder0
CoconutWaterBoy
· hace9h
¿Cuánto dinero más se robarán de los NFT? Es muy lamentable.
Auditoría de seguridad de contratos NFT: 6 preguntas comunes y análisis de casos típicos
Problemas comunes y análisis de casos típicos en la auditoría de seguridad de contratos NFT
Recientemente, han ocurrido numerosos incidentes de seguridad en el ámbito de los NFT, lo que ha causado enormes pérdidas económicas. Según los datos de monitoreo de seguridad en blockchain, en la primera mitad de 2022 se registraron 10 incidentes de seguridad importantes relacionados con los NFT, que causaron pérdidas de aproximadamente 64.9 millones de dólares. Los principales métodos de ataque en estos incidentes incluyen la explotación de vulnerabilidades en los contratos, la filtración de claves privadas y el phishing.
Análisis de eventos de seguridad típicos
evento TreasureDAO
El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada, lo que resultó en el robo de más de 100 NFT. La vulnerabilidad se originó en un error lógico en el contrato TreasureMarketplaceBuyer, que no distinguía correctamente entre los tokens ERC-1155 y ERC-721, lo que permitió a los atacantes comprar NFT sin pagar.
evento de airdrop de APE Coin
El 17 de marzo de 2022, los atacantes utilizaron un préstamo relámpago para obtener más de 60,000 tokens APE Coin de un airdrop. El problema radicó en el contrato de AirdropGrapesToken, donde la determinación de elegibilidad para el airdrop se basó únicamente en un estado temporal, siendo manipulado por los atacantes mediante un préstamo relámpago.
Evento de Revest Finance
El 27 de marzo de 2022, Revest Finance fue atacado, con pérdidas de aproximadamente 120,000 dólares. La vulnerabilidad involucró un ataque de reentrada ERC-1155, derivado de que el contrato no manejó correctamente el orden de cambio de estado al acuñar nuevos FNFT.
evento NBA de aprovecharse
El 21 de abril de 2022, el proyecto de la NBA sufrió un ataque. El problema radica en el mecanismo de verificación de firma del contrato The_Association_Sales, que presenta riesgos de suplantación y reutilización de firmas.
evento Akutar
El 23 de abril de 2022, el contrato de AkuAuction del proyecto Akutar tuvo una vulnerabilidad lógica en su debido, lo que resultó en el bloqueo de 11539 ETH (aproximadamente 34 millones de dólares). Los principales problemas incluyen defectos en el diseño de la función de reembolso y la falta de consideración de las múltiples pujas de los usuarios.
XCarnival evento
El 24 de junio de 2022, el protocolo de préstamo NFT XCarnival fue atacado, con una pérdida de aproximadamente 3.8 millones de dólares. La función pledgeAndBorrow en el contrato XNFT contenía una vulnerabilidad lógica que no verificaba correctamente la validez de los NFT en garantía.
Preguntas frecuentes sobre la auditoría de contratos NFT
Suplantación y reutilización de firmas:
Brecha lógica:
Ataque de reentrada ERC721/ERC1155:
El alcance de la autorización es demasiado amplio:
Manipulación de precios:
Estos problemas son a menudo explotados por los hackers en ataques reales. Por lo tanto, realizar auditorías de seguridad profesionales en proyectos de NFT es crucial, ya que puede prevenir eficazmente posibles riesgos de seguridad y proteger la seguridad de los activos de los usuarios.