Problèmes courants et analyse de cas typiques dans l'audit de sécurité des contrats NFT
Récemment, des incidents de sécurité dans le domaine des NFT se sont multipliés, entraînant d'énormes pertes économiques. Selon les données de surveillance de la sécurité blockchain, 10 événements majeurs de sécurité des NFT se sont produits au cours du premier semestre 2022, causant environ 64,9 millions de dollars de pertes. Les principales méthodes d'attaque de ces événements incluent l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing.
Analyse des incidents de sécurité typiques
événement TreasureDAO
Le 3 mars 2022, la plateforme de trading TreasureDAO a été attaquée, entraînant le vol de plus de 100 NFT. La faille provenait d'une erreur logique dans le contrat TreasureMarketplaceBuyer, qui ne faisait pas correctement la distinction entre les jetons ERC-1155 et ERC-721, permettant aux attaquants d'acheter des NFT sans payer.
événement d'airdrop APE Coin
Le 17 mars 2022, des attaquants ont utilisé un prêt éclair pour obtenir plus de 60 000 APE Coin en airdrop. Le problème résidait dans le contrat AirdropGrapesToken, où l'éligibilité à l'airdrop était déterminée uniquement sur la base de l'état instantané, manipulé par les attaquants via le prêt éclair.
Événement Revest Finance
Le 27 mars 2022, Revest Finance a été attaqué, entraînant une perte d'environ 120 000 dollars. La vulnérabilité concernait une attaque de réentrance ERC-1155, résultant d'un traitement incorrect de l'ordre des changements d'état lors de la création de nouveaux FNFT.
événement de gain facile NBA
Le 21 avril 2022, le projet NBA a subi une attaque. Le problème réside dans le mécanisme de vérification de signature du contrat The_Association_Sales, qui présente des risques d'usurpation et de réutilisation de signatures.
événement Akutar
Le 23 avril 2022, la logique de contrat due de l'AkuAuction du projet Akutar a révélé une vulnérabilité, entraînant le blocage de 11539 ETH (environ 34 millions de dollars). Les principaux problèmes incluent des défauts de conception dans la fonction de remboursement et le non-considération des situations où les utilisateurs enchérissent plusieurs fois.
événement XCarnival
Le 24 juin 2022, le protocole de prêt NFT XCarnival a été attaqué, entraînant une perte d'environ 3,8 millions de dollars. La fonction pledgeAndBorrow dans le contrat XNFT présentait une vulnérabilité logique, ne vérifiant pas correctement la validité des NFT mis en gage.
Questions fréquentes sur l'audit des contrats NFT
Usurpation et réutilisation de signature :
Vérification de la réutilisation des signatures manquante
La logique de vérification de la signature n'est pas rigoureuse
Vulnérabilité logique :
Contrôle inapproprié de l'émission de monnaie
L'ordre des transactions lors du processus d'enchères dépend des attaques
Attaque par réentrance ERC721/ERC1155 :
La fonction de notification de transfert peut entraîner une réentrance
Champ d'autorisation trop large :
Les autorisations globales inutiles augmentent les risques de sécurité
Manipulation des prix :
Le prix des NFT dépend de facteurs externes facilement manipulables
Ces problèmes sont souvent exploités par des hackers lors d'attaques réelles. Par conséquent, il est crucial de réaliser des audits de sécurité professionnels pour les projets NFT, ce qui peut efficacement prévenir les risques de sécurité potentiels et protéger la sécurité des actifs des utilisateurs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
11 J'aime
Récompense
11
4
Reposter
Partager
Commentaire
0/400
GasWaster
· Il y a 9h
j'ai perdu plus d'eth sur des tx échouées que la valeur de mon portefeuille smh... un jour de plus, un autre contrat intelligent rekt
Voir l'originalRépondre0
zkProofInThePudding
· Il y a 16h
Encore un bug pour obtenir des NFT gratuitement.
Voir l'originalRépondre0
AlwaysAnon
· Il y a 16h
En volant, on finit par profiter gratuitement.
Voir l'originalRépondre0
CoconutWaterBoy
· Il y a 16h
Combien d'argent reste-t-il à voler de l'NFT ? C'est trop triste.
Audit de sécurité des contrats NFT : 6 problèmes courants et analyse de cas typiques
Problèmes courants et analyse de cas typiques dans l'audit de sécurité des contrats NFT
Récemment, des incidents de sécurité dans le domaine des NFT se sont multipliés, entraînant d'énormes pertes économiques. Selon les données de surveillance de la sécurité blockchain, 10 événements majeurs de sécurité des NFT se sont produits au cours du premier semestre 2022, causant environ 64,9 millions de dollars de pertes. Les principales méthodes d'attaque de ces événements incluent l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing.
Analyse des incidents de sécurité typiques
événement TreasureDAO
Le 3 mars 2022, la plateforme de trading TreasureDAO a été attaquée, entraînant le vol de plus de 100 NFT. La faille provenait d'une erreur logique dans le contrat TreasureMarketplaceBuyer, qui ne faisait pas correctement la distinction entre les jetons ERC-1155 et ERC-721, permettant aux attaquants d'acheter des NFT sans payer.
événement d'airdrop APE Coin
Le 17 mars 2022, des attaquants ont utilisé un prêt éclair pour obtenir plus de 60 000 APE Coin en airdrop. Le problème résidait dans le contrat AirdropGrapesToken, où l'éligibilité à l'airdrop était déterminée uniquement sur la base de l'état instantané, manipulé par les attaquants via le prêt éclair.
Événement Revest Finance
Le 27 mars 2022, Revest Finance a été attaqué, entraînant une perte d'environ 120 000 dollars. La vulnérabilité concernait une attaque de réentrance ERC-1155, résultant d'un traitement incorrect de l'ordre des changements d'état lors de la création de nouveaux FNFT.
événement de gain facile NBA
Le 21 avril 2022, le projet NBA a subi une attaque. Le problème réside dans le mécanisme de vérification de signature du contrat The_Association_Sales, qui présente des risques d'usurpation et de réutilisation de signatures.
événement Akutar
Le 23 avril 2022, la logique de contrat due de l'AkuAuction du projet Akutar a révélé une vulnérabilité, entraînant le blocage de 11539 ETH (environ 34 millions de dollars). Les principaux problèmes incluent des défauts de conception dans la fonction de remboursement et le non-considération des situations où les utilisateurs enchérissent plusieurs fois.
événement XCarnival
Le 24 juin 2022, le protocole de prêt NFT XCarnival a été attaqué, entraînant une perte d'environ 3,8 millions de dollars. La fonction pledgeAndBorrow dans le contrat XNFT présentait une vulnérabilité logique, ne vérifiant pas correctement la validité des NFT mis en gage.
Questions fréquentes sur l'audit des contrats NFT
Usurpation et réutilisation de signature :
Vulnérabilité logique :
Attaque par réentrance ERC721/ERC1155 :
Champ d'autorisation trop large :
Manipulation des prix :
Ces problèmes sont souvent exploités par des hackers lors d'attaques réelles. Par conséquent, il est crucial de réaliser des audits de sécurité professionnels pour les projets NFT, ce qui peut efficacement prévenir les risques de sécurité potentiels et protéger la sécurité des actifs des utilisateurs.