Segurança de Contratos NFT: Revisão de Eventos do Primeiro Semestre de 2022 e Análise de Problemas Comuns
No primeiro semestre de 2022, ocorreram frequentemente incidentes de segurança no campo dos NFTs, causando enormes perdas econômicas. De acordo com as estatísticas da plataforma de dados, ocorreram 10 principais incidentes de segurança de NFTs nesse período, resultando em perdas de cerca de 64,9 milhões de dólares. As principais técnicas de ataque incluem a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Entre elas, os ataques de phishing na plataforma Discord foram particularmente rampantes, com servidores sendo atacados quase diariamente, resultando em perdas frequentes para os usuários.
Revisão de Incidentes de Segurança Típicos
Evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi alvo de um ataque hacker, resultando no roubo de mais de 100 NFTs. A razão foi uma falha de lógica no contrato, que não fez a distinção entre os tokens ERC-1155 e ERC-721, permitindo que os atacantes comprassem NFTs sem custo.
Evento de airdrop da APE Coin
No dia 17 de março de 2022, hackers usaram um empréstimo relâmpago para obter mais de 60.000 APE Coin em airdrop. A vulnerabilidade estava no fato de que o contrato de airdrop verificava apenas o estado atual de posse de NFT do usuário, sem considerar as mudanças de estado instantâneas que um empréstimo relâmpago poderia causar.
Evento Revest Finance
No dia 27 de março de 2022, a Revest Finance sofreu um ataque, resultando em uma perda de 120 mil dólares. A razão foi uma vulnerabilidade de reentrada no token ERC-1155, pois o contrato não realizou verificações adequadas ao cunhar um novo NFT.
evento do projeto NBA
No dia 21 de abril de 2022, projetos de NFT relacionados à NBA foram atacados. O problema estava no mecanismo de verificação de assinatura, que apresentava riscos de uso indevido e reutilização de assinaturas.
Akutar事件
No dia 23 de abril de 2022, o projeto Akutar sofreu devido a uma falha lógica no contrato, resultando em 11.5 mil ETH (, cerca de 34 milhões de dólares ), sendo bloqueados. A principal razão foi o design inadequado da função de reembolso, que não levou em conta a situação de múltiplas licitações por parte dos usuários.
Evento XCarnival
Em 24 de junho de 2022, o protocolo de empréstimo NFT XCarnival foi atacado, resultando em uma perda de 3087 ETH(, cerca de 3,8 milhões de dólares). A vulnerabilidade estava na lógica de staking e empréstimo, que não realizava a verificação adequada dos colaterais e do estado do empréstimo.
Problemas de segurança comuns em contratos NFT
Defeito no mecanismo de assinatura: inclui problemas de reutilização e usurpação de assinaturas.
Falhas lógicas: como controle inadequado da quantidade de moeda, falhas em leilões, etc.
Ataque de reentrada ERC721/ERC1155: pode causar reentrada na notificação de transferência.
Escopo de autorização excessivo: autorizações globais desnecessárias aumentam o risco de roubo de ativos.
Manipulação de preços: a dependência de fontes de dados externas pode levar a liquidações anormais.
Esses problemas são comuns em ataques reais, destacando a importância de uma auditoria de segurança abrangente para projetos de NFT. Os desenvolvedores devem dar importância à segurança dos contratos e convidar instituições profissionais para realizar auditorias, a fim de prevenir riscos potenciais.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
10 gostos
Recompensa
10
5
Partilhar
Comentar
0/400
GateUser-ccc36bc5
· 7h atrás
Parece que os hackers já entenderam as armadilhas.
Ver originalResponder0
LiquidityWizard
· 7h atrás
Ai, o contrato não distingue entre 721 e 1155.
Ver originalResponder0
AirdropChaser
· 7h atrás
Discord eu já tenho medo
Ver originalResponder0
MevHunter
· 7h atrás
O contrato explodiu de novo, o que mais podemos fazer?
Ver originalResponder0
SellLowExpert
· 7h atrás
O contrato está presente, o preço do chão não está.
Alerta de segurança dos contratos NFT: Análise das perdas de 64,9 milhões de dólares e das vulnerabilidades comuns no primeiro semestre de 2022
Segurança de Contratos NFT: Revisão de Eventos do Primeiro Semestre de 2022 e Análise de Problemas Comuns
No primeiro semestre de 2022, ocorreram frequentemente incidentes de segurança no campo dos NFTs, causando enormes perdas econômicas. De acordo com as estatísticas da plataforma de dados, ocorreram 10 principais incidentes de segurança de NFTs nesse período, resultando em perdas de cerca de 64,9 milhões de dólares. As principais técnicas de ataque incluem a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Entre elas, os ataques de phishing na plataforma Discord foram particularmente rampantes, com servidores sendo atacados quase diariamente, resultando em perdas frequentes para os usuários.
Revisão de Incidentes de Segurança Típicos
Evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi alvo de um ataque hacker, resultando no roubo de mais de 100 NFTs. A razão foi uma falha de lógica no contrato, que não fez a distinção entre os tokens ERC-1155 e ERC-721, permitindo que os atacantes comprassem NFTs sem custo.
Evento de airdrop da APE Coin
No dia 17 de março de 2022, hackers usaram um empréstimo relâmpago para obter mais de 60.000 APE Coin em airdrop. A vulnerabilidade estava no fato de que o contrato de airdrop verificava apenas o estado atual de posse de NFT do usuário, sem considerar as mudanças de estado instantâneas que um empréstimo relâmpago poderia causar.
Evento Revest Finance
No dia 27 de março de 2022, a Revest Finance sofreu um ataque, resultando em uma perda de 120 mil dólares. A razão foi uma vulnerabilidade de reentrada no token ERC-1155, pois o contrato não realizou verificações adequadas ao cunhar um novo NFT.
evento do projeto NBA
No dia 21 de abril de 2022, projetos de NFT relacionados à NBA foram atacados. O problema estava no mecanismo de verificação de assinatura, que apresentava riscos de uso indevido e reutilização de assinaturas.
Akutar事件
No dia 23 de abril de 2022, o projeto Akutar sofreu devido a uma falha lógica no contrato, resultando em 11.5 mil ETH (, cerca de 34 milhões de dólares ), sendo bloqueados. A principal razão foi o design inadequado da função de reembolso, que não levou em conta a situação de múltiplas licitações por parte dos usuários.
Evento XCarnival
Em 24 de junho de 2022, o protocolo de empréstimo NFT XCarnival foi atacado, resultando em uma perda de 3087 ETH(, cerca de 3,8 milhões de dólares). A vulnerabilidade estava na lógica de staking e empréstimo, que não realizava a verificação adequada dos colaterais e do estado do empréstimo.
Problemas de segurança comuns em contratos NFT
Defeito no mecanismo de assinatura: inclui problemas de reutilização e usurpação de assinaturas.
Falhas lógicas: como controle inadequado da quantidade de moeda, falhas em leilões, etc.
Ataque de reentrada ERC721/ERC1155: pode causar reentrada na notificação de transferência.
Escopo de autorização excessivo: autorizações globais desnecessárias aumentam o risco de roubo de ativos.
Manipulação de preços: a dependência de fontes de dados externas pode levar a liquidações anormais.
Esses problemas são comuns em ataques reais, destacando a importância de uma auditoria de segurança abrangente para projetos de NFT. Os desenvolvedores devem dar importância à segurança dos contratos e convidar instituições profissionais para realizar auditorias, a fim de prevenir riscos potenciais.