Analyse de la sécurité des contrats NFT : principaux événements et problèmes courants au cours du premier semestre
Au cours du premier semestre 2022, plusieurs incidents de sécurité ont eu lieu dans le domaine des NFT, entraînant des pertes considérables. Selon les données, un total de 10 principaux incidents de sécurité liés aux NFT ont été signalés pendant cette période, avec des pertes totales d'environ 64,9 millions de dollars. Les méthodes d'attaque incluent principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing, entre autres. Il convient de noter que les incidents de phishing sur la plateforme Discord sont fréquents, avec presque chaque jour des serveurs attaqués, entraînant des pertes fréquentes pour les utilisateurs individuels.
Analyse des événements de sécurité typiques
événement TreasureDAO
Le 3 mars, la plateforme d'échange TreasureDAO a été attaquée, avec plus de 100 NFT volés. La raison en est une vulnérabilité logique dans le contrat, où l'utilisation mixte des tokens ERC-1155 et ERC-721 a entraîné une confusion logique. Le contrat ne vérifiait pas le type de token, permettant l'achat de tokens dans le cas où le montant des tokens ERC-20 était de 0.
Événement d'airdrop APE Coin
Le 17 mars, des hackers ont utilisé un prêt flash pour obtenir plus de 60 000 APE Coin en airdrop. La faille réside dans le fait que le contrat d'airdrop ne détermine la propriété des NFT que par l'état instantané, et cet état peut être manipulé par des prêts flash.
Événement Revest Finance
Le 27 mars, Revest Finance a été attaqué, entraînant une perte de 120 000 $. La raison en est une vulnérabilité de réentrance ERC-1155, le contrat n'ayant pas vérifié si un FNFT existait déjà lors de la création d'un nouveau FNFT, et la variable d'état étant incrémentée après la fonction de création, ce qui a conduit à une attaque par réentrance.
événement de profit sur la NBA
Le 21 avril, le projet NBA a été attaqué. Le problème réside dans la méthode de vérification de la signature de la liste blanche, qui présente deux risques de sécurité : l'imitation de la signature et la réutilisation.
événement Akutar
Le 23 avril, une faille dans le contrat du projet Akutar a entraîné le blocage d'actifs d'une valeur de 34 millions de dollars. La principale raison est une erreur logique dans la fonction de remboursement, qui n'a pas pris en compte le cas où les utilisateurs peuvent enchérir sur plusieurs NFT.
événement XCarnival
Le 24 juin, XCarnival a été attaqué, entraînant une perte d'environ 3,8 millions de dollars. La vulnérabilité résidait dans le fait que le contrat ne vérifiait pas la validité de l'adresse xToken du NFT staké et ne détectait pas l'état des enregistrements de nantissement.
Questions fréquentes sur les contrats NFT
Usurpation et réutilisation de signatures : absence de vérification de répétition, contrôle de signature irrationnel.
Vulnérabilités logiques : les administrateurs peuvent contourner la limite totale d'émission de pièces, il existe un risque d'attaque par dépendance à l'ordre des transactions lors des enchères.
Attaque de réentrance ERC721/ERC1155 : l'utilisation de la fonction de notification de transfert peut entraîner une réentrance.
Portée de l'autorisation trop large : demande d'autorisation globale plutôt que d'autorisation pour un seul jeton, augmentant le risque de vol de NFT.
Manipulation des prix : Le prix des NFT dépend du montant des jetons de contrat externe détenus, et est facilement influencé par des prêts éclair.
Étant donné ces problèmes courants, il est particulièrement important de procéder à un audit de sécurité professionnel des contrats NFT. Les équipes de projet doivent accorder une attention particulière à la sécurité des contrats afin d'éviter des pertes potentielles énormes.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
8 J'aime
Récompense
8
3
Reposter
Partager
Commentaire
0/400
HashBandit
· Il y a 23h
bruh, le même vieux désordre de contrat... ça me rappelle mon rig de minage GPU qui a pris feu en 2017 smh
Voir l'originalRépondre0
WalletDivorcer
· Il y a 23h
Qui a encore perdu son portefeuille ?
Voir l'originalRépondre0
ZeroRushCaptain
· Il y a 23h
Un guichet automatique qui perd de l'argent à la vitesse de la lumière, a encore été mis en ligne par le poisson d'étang pour se faire prendre pour des cons.
Avertissement sur la sécurité des contrats NFT : Revue des événements et analyse des risques au premier semestre 2022
Analyse de la sécurité des contrats NFT : principaux événements et problèmes courants au cours du premier semestre
Au cours du premier semestre 2022, plusieurs incidents de sécurité ont eu lieu dans le domaine des NFT, entraînant des pertes considérables. Selon les données, un total de 10 principaux incidents de sécurité liés aux NFT ont été signalés pendant cette période, avec des pertes totales d'environ 64,9 millions de dollars. Les méthodes d'attaque incluent principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing, entre autres. Il convient de noter que les incidents de phishing sur la plateforme Discord sont fréquents, avec presque chaque jour des serveurs attaqués, entraînant des pertes fréquentes pour les utilisateurs individuels.
Analyse des événements de sécurité typiques
événement TreasureDAO
Le 3 mars, la plateforme d'échange TreasureDAO a été attaquée, avec plus de 100 NFT volés. La raison en est une vulnérabilité logique dans le contrat, où l'utilisation mixte des tokens ERC-1155 et ERC-721 a entraîné une confusion logique. Le contrat ne vérifiait pas le type de token, permettant l'achat de tokens dans le cas où le montant des tokens ERC-20 était de 0.
Événement d'airdrop APE Coin
Le 17 mars, des hackers ont utilisé un prêt flash pour obtenir plus de 60 000 APE Coin en airdrop. La faille réside dans le fait que le contrat d'airdrop ne détermine la propriété des NFT que par l'état instantané, et cet état peut être manipulé par des prêts flash.
Événement Revest Finance
Le 27 mars, Revest Finance a été attaqué, entraînant une perte de 120 000 $. La raison en est une vulnérabilité de réentrance ERC-1155, le contrat n'ayant pas vérifié si un FNFT existait déjà lors de la création d'un nouveau FNFT, et la variable d'état étant incrémentée après la fonction de création, ce qui a conduit à une attaque par réentrance.
événement de profit sur la NBA
Le 21 avril, le projet NBA a été attaqué. Le problème réside dans la méthode de vérification de la signature de la liste blanche, qui présente deux risques de sécurité : l'imitation de la signature et la réutilisation.
événement Akutar
Le 23 avril, une faille dans le contrat du projet Akutar a entraîné le blocage d'actifs d'une valeur de 34 millions de dollars. La principale raison est une erreur logique dans la fonction de remboursement, qui n'a pas pris en compte le cas où les utilisateurs peuvent enchérir sur plusieurs NFT.
événement XCarnival
Le 24 juin, XCarnival a été attaqué, entraînant une perte d'environ 3,8 millions de dollars. La vulnérabilité résidait dans le fait que le contrat ne vérifiait pas la validité de l'adresse xToken du NFT staké et ne détectait pas l'état des enregistrements de nantissement.
Questions fréquentes sur les contrats NFT
Usurpation et réutilisation de signatures : absence de vérification de répétition, contrôle de signature irrationnel.
Vulnérabilités logiques : les administrateurs peuvent contourner la limite totale d'émission de pièces, il existe un risque d'attaque par dépendance à l'ordre des transactions lors des enchères.
Attaque de réentrance ERC721/ERC1155 : l'utilisation de la fonction de notification de transfert peut entraîner une réentrance.
Portée de l'autorisation trop large : demande d'autorisation globale plutôt que d'autorisation pour un seul jeton, augmentant le risque de vol de NFT.
Manipulation des prix : Le prix des NFT dépend du montant des jetons de contrat externe détenus, et est facilement influencé par des prêts éclair.
Étant donné ces problèmes courants, il est particulièrement important de procéder à un audit de sécurité professionnel des contrats NFT. Les équipes de projet doivent accorder une attention particulière à la sécurité des contrats afin d'éviter des pertes potentielles énormes.