Questões Comuns e Análise de Casos Típicos na Auditoria de Segurança de Contratos NFT
Recentemente, têm ocorrido vários incidentes de segurança no campo dos NFT, causando enormes perdas econômicas. De acordo com os dados de monitoramento de segurança em blockchain, ocorreram 10 incidentes de segurança significativos relacionados a NFT no primeiro semestre de 2022, resultando em perdas de cerca de 64,9 milhões de dólares. Os principais métodos de ataque nesses incidentes incluem a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing.
Análise de Eventos de Segurança Típicos
evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi atacada, resultando no roubo de mais de 100 NFTs. A falha originou-se de um erro lógico no contrato TreasureMarketplaceBuyer, que não fez a distinção correta entre tokens ERC-1155 e ERC-721, permitindo que os atacantes comprassem NFTs sem pagamento.
evento de airdrop APE Coin
Em 17 de março de 2022, os atacantes utilizaram um empréstimo relâmpago para obter mais de 60.000 APE Coin em airdrop. O problema estava no contrato AirdropGrapesToken, onde a determinação de elegibilidade para o airdrop era baseada apenas em um estado momentâneo, que foi manipulado pelos atacantes através de empréstimos relâmpago.
Evento Revest Finance
Em 27 de março de 2022, a Revest Finance foi atacada, resultando em uma perda de cerca de 120 mil dólares. A vulnerabilidade envolveu um ataque de reentrada ERC-1155, originado pela forma como o contrato não tratou corretamente a ordem de mudança de estado ao cunhar novos FNFTs.
NBA aproveitamento de bônus
No dia 21 de abril de 2022, o projeto NBA sofreu um ataque. O problema estava no mecanismo de verificação de assinatura do contrato The_Association_Sales, que apresentava riscos de falsificação e reutilização de assinaturas.
Akutar事件
No dia 23 de abril de 2022, a lógica de erro no contrato do AkuAuction do projeto Akutar resultou no bloqueio de 11539 ETH (cerca de 34 milhões de dólares). Os principais problemas incluem falhas no design da função de reembolso e a falta de consideração para o caso de múltiplas licitações pelos usuários.
Evento XCarnival
No dia 24 de junho de 2022, o protocolo de empréstimo NFT XCarnival foi atacado, resultando numa perda de cerca de 3,8 milhões de dólares. A função pledgeAndBorrow no contrato XNFT tinha uma vulnerabilidade lógica, não validando corretamente a validade do NFT empenhado.
Perguntas Frequentes sobre Auditoria de Contratos NFT
Uso e reutilização de assinaturas:
Falta de validação de reutilização de assinatura
A lógica de verificação de assinatura não é rigorosa
Falha lógica:
Controle inadequado da quantidade de moedas
A ordem das transações durante o processo de leilão depende de ataques
Ataque de reentrância ERC721/ERC1155:
A funcionalidade de notificação de transferência pode causar reentrada
A abrangência da autorização é demasiado ampla:
Autorizações globais desnecessárias aumentam o risco de segurança
Manipulação de preços:
O preço do NFT depende de fatores externos que podem ser facilmente manipulados
Essas questões são frequentemente exploradas por hackers em ataques reais. Portanto, é crucial realizar auditorias de segurança profissionais em projetos de NFT, o que pode efetivamente prevenir potenciais riscos de segurança e proteger os ativos dos usuários.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
11 gostos
Recompensa
11
4
Republicar
Partilhar
Comentar
0/400
GasWaster
· 2h atrás
perdi mais eth em txs falhadas do que o valor do meu portfólio smh... mais um dia, mais um contrato inteligente rekt
Ver originalResponder0
zkProofInThePudding
· 9h atrás
É outra falha para conseguir NFTs gratuitamente.
Ver originalResponder0
AlwaysAnon
· 9h atrás
Roubar, roubar e acabar por obter de graça.
Ver originalResponder0
CoconutWaterBoy
· 9h atrás
Quanto dinheiro em NFT ainda vai ser roubado? Que tragédia.
Auditoria de segurança de contratos NFT: 6 questões comuns e análise de casos típicos
Questões Comuns e Análise de Casos Típicos na Auditoria de Segurança de Contratos NFT
Recentemente, têm ocorrido vários incidentes de segurança no campo dos NFT, causando enormes perdas econômicas. De acordo com os dados de monitoramento de segurança em blockchain, ocorreram 10 incidentes de segurança significativos relacionados a NFT no primeiro semestre de 2022, resultando em perdas de cerca de 64,9 milhões de dólares. Os principais métodos de ataque nesses incidentes incluem a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing.
Análise de Eventos de Segurança Típicos
evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi atacada, resultando no roubo de mais de 100 NFTs. A falha originou-se de um erro lógico no contrato TreasureMarketplaceBuyer, que não fez a distinção correta entre tokens ERC-1155 e ERC-721, permitindo que os atacantes comprassem NFTs sem pagamento.
evento de airdrop APE Coin
Em 17 de março de 2022, os atacantes utilizaram um empréstimo relâmpago para obter mais de 60.000 APE Coin em airdrop. O problema estava no contrato AirdropGrapesToken, onde a determinação de elegibilidade para o airdrop era baseada apenas em um estado momentâneo, que foi manipulado pelos atacantes através de empréstimos relâmpago.
Evento Revest Finance
Em 27 de março de 2022, a Revest Finance foi atacada, resultando em uma perda de cerca de 120 mil dólares. A vulnerabilidade envolveu um ataque de reentrada ERC-1155, originado pela forma como o contrato não tratou corretamente a ordem de mudança de estado ao cunhar novos FNFTs.
NBA aproveitamento de bônus
No dia 21 de abril de 2022, o projeto NBA sofreu um ataque. O problema estava no mecanismo de verificação de assinatura do contrato The_Association_Sales, que apresentava riscos de falsificação e reutilização de assinaturas.
Akutar事件
No dia 23 de abril de 2022, a lógica de erro no contrato do AkuAuction do projeto Akutar resultou no bloqueio de 11539 ETH (cerca de 34 milhões de dólares). Os principais problemas incluem falhas no design da função de reembolso e a falta de consideração para o caso de múltiplas licitações pelos usuários.
Evento XCarnival
No dia 24 de junho de 2022, o protocolo de empréstimo NFT XCarnival foi atacado, resultando numa perda de cerca de 3,8 milhões de dólares. A função pledgeAndBorrow no contrato XNFT tinha uma vulnerabilidade lógica, não validando corretamente a validade do NFT empenhado.
Perguntas Frequentes sobre Auditoria de Contratos NFT
Uso e reutilização de assinaturas:
Falha lógica:
Ataque de reentrância ERC721/ERC1155:
A abrangência da autorização é demasiado ampla:
Manipulação de preços:
Essas questões são frequentemente exploradas por hackers em ataques reais. Portanto, é crucial realizar auditorias de segurança profissionais em projetos de NFT, o que pode efetivamente prevenir potenciais riscos de segurança e proteger os ativos dos usuários.