Advertencia de seguridad de contratos NFT: Análisis de pérdidas de 64.9 millones de dólares y vulnerabilidades comunes en la primera mitad de 2022

Seguridad de contratos NFT: Revisión de eventos del primer semestre de 2022 y análisis de preguntas frecuentes

En la primera mitad de 2022, los incidentes de seguridad en el campo de NFT fueron frecuentes, causando enormes pérdidas económicas. Según estadísticas de plataformas de datos, durante este período ocurrieron 10 incidentes principales de seguridad de NFT, con pérdidas de aproximadamente 64.9 millones de dólares. Los métodos de ataque incluyeron principalmente la explotación de vulnerabilidades en contratos, filtraciones de claves privadas y phishing. Entre ellos, los ataques de phishing en la plataforma Discord fueron especialmente rampantes, con servidores atacados casi a diario, lo que llevó a los usuarios a sufrir pérdidas frecuentes.

Análisis de eventos de seguridad de NFT en la primera mitad del año: ¿qué casos típicos debemos tener en cuenta?

Revisión de eventos de seguridad típicos

evento TreasureDAO

El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada por hackers, robando más de 100 NFT. La razón fue una vulnerabilidad lógica en el contrato, que no diferenciaba el tratamiento de los tokens ERC-1155 y ERC-721, lo que permitió a los atacantes comprar NFT a costo cero.

APE Coin evento de airdrop

El 17 de marzo de 2022, los hackers aprovecharon un préstamo relámpago para obtener más de 60,000 APE Coin airdrops. La vulnerabilidad radicaba en que el contrato de airdrop solo verificaba el estado de tenencia de NFT actual del usuario, sin considerar los cambios de estado instantáneos que podrían resultar de los préstamos relámpago.

Evento de Revest Finance

El 27 de marzo de 2022, Revest Finance sufrió un ataque y perdió 120,000 dólares. La causa fue una vulnerabilidad de reentrada en el token ERC-1155, ya que el contrato no realizó suficientes verificaciones al acuñar un nuevo NFT.

evento del proyecto NBA

El 21 de abril de 2022, un proyecto de NFT relacionado con la NBA fue atacado. El problema radica en el mecanismo de verificación de firmas, que presenta riesgos de suplantación y reutilización de firmas.

Evento Akutar

El 23 de abril de 2022, el proyecto Akutar sufrió un bloqueo de 11,500 ETH(, aproximadamente 34 millones de dólares), debido a una vulnerabilidad en la lógica del contrato. La razón principal fue el diseño inadecuado de la función de reembolso, que no tuvo en cuenta la situación de las pujas múltiples de los usuarios.

evento XCarnival

El 24 de junio de 2022, el protocolo de préstamos de NFT XCarnival fue atacado, con pérdidas de 3087 ETH(, aproximadamente 3.8 millones de dólares). La vulnerabilidad radica en que la lógica de pignoración y préstamo presenta defectos, sin realizar una verificación adecuada de los activos colaterales y el estado del préstamo.

Análisis de eventos de seguridad de NFT en la primera mitad del año: ¿Qué casos típicos debemos tener en cuenta?

Problemas de seguridad comunes en contratos NFT

  1. Defecto en el mecanismo de firma: incluye problemas de reutilización y suplantación de firmas.

  2. Vulnerabilidades lógicas: como un control inadecuado de la cantidad de monedas acuñadas, fallos en las subastas, etc.

  3. Ataque de reentrada ERC721/ERC1155: podría provocar una reentrada en la notificación de transferencia.

  4. Alcance de autorización demasiado amplio: una autorización global innecesaria aumenta el riesgo de robo de activos.

  5. Manipulación de precios: depender de fuentes de datos externas puede llevar a liquidaciones anormales.

Estos problemas son comunes en ataques reales, lo que resalta la importancia de realizar auditorías de seguridad exhaustivas en los proyectos de NFT. Los desarrolladores deben dar importancia a la seguridad de los contratos e invitar a instituciones profesionales a realizar auditorías para prevenir riesgos potenciales.

Análisis de eventos de seguridad de NFT en la primera mitad del año: ¿qué casos típicos debemos tener en cuenta?

APE4.96%
ETH5.79%
XCV-0.8%
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
  • Recompensa
  • 5
  • Compartir
Comentar
0/400
GateUser-ccc36bc5vip
· hace7h
Originalmente, los hackers ya entendieron la trampa.
Ver originalesResponder0
LiquidityWizardvip
· hace7h
Ay, el contrato en realidad no distingue entre 721 y 1155.
Ver originalesResponder0
AirdropChaservip
· hace7h
Discord me asusta.
Ver originalesResponder0
MevHuntervip
· hace7h
El contrato ha vuelto a explotar, ¿qué más se puede hacer?
Ver originalesResponder0
SellLowExpertvip
· hace7h
El contrato está allí, el Precio mínimo no está.
Ver originalesResponder0
Opere con criptomonedas en cualquier momento y lugar
qrCode
Escanee para descargar la aplicación Gate
Comunidad
Español
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)