Análisis de problemas de seguridad en contratos NFT y interpretación de casos típicos
En la primera mitad de 2022, ocurrieron varios incidentes de seguridad en el campo de NFT, causando pérdidas de aproximadamente 64.9 millones de dólares. Estos incidentes involucraron principalmente la explotación de vulnerabilidades en contratos, filtraciones de claves privadas y ataques de phishing. Es notable que los incidentes de phishing en la plataforma Discord son frecuentes, con servidores atacados casi a diario, lo que resulta en pérdidas frecuentes para los usuarios individuales.
Análisis de eventos de seguridad típicos
Evento TreasureDAO
El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada por hackers, lo que resultó en el robo de más de 100 NFT. La causa fundamental de este incidente fue una vulnerabilidad lógica en el contrato, donde la mezcla de tokens ERC-1155 y ERC-721 causó confusión lógica. Los tokens ERC-721 no tienen concepto de cantidad, pero el contrato utilizó cálculos de cantidad para determinar el precio de compra de los tokens, y no se realizó una separación lógica en la implementación de la transferencia de tokens.
evento de airdrop de APE Coin
El 17 de marzo de 2022, un hacker utilizó un préstamo relámpago para obtener más de 60,000 APE Coin en airdrops. La vulnerabilidad se encontraba en el contrato de airdrop, que usaba el estado instantáneo para determinar la propiedad del usuario sobre el NFT, y este estado podía ser manipulado a través de un préstamo relámpago.
evento de Revest Finance
El 27 de marzo de 2022, el proyecto Revest Finance fue atacado, con una pérdida de aproximadamente 120,000 dólares. Este es un ataque típico de reentrada ERC-1155, donde el contrato no verifica si ya existe al acuñar nuevos FNFT, y la variable de estado se incrementa después de ejecutar la función de acuñación, lo que provoca una vulnerabilidad de reentrada.
evento de aprovechamiento de la NBA
El 21 de abril de 2022, el proyecto de la NBA fue atacado. La vulnerabilidad involucraba problemas de suplantación y reutilización de firmas, el contrato no almacenaba las firmas ya utilizadas y no realizaba una verificación del remitente al pasar los parámetros.
Evento Akutar
El 23 de abril de 2022, el proyecto Akutar fue bloqueado debido a una vulnerabilidad en el contrato inteligente que resultó en 11,539 ETH (aproximadamente 34 millones de dólares) siendo bloqueados. El contrato presenta dos fallos lógicos clave: la función de reembolso podría ser maliciosamente bloqueada, y no se consideró la situación de las múltiples pujas de los usuarios.
evento XCarnival
El 24 de junio de 2022, XCarnival fue atacado, y los hackers obtuvieron 3087 Ethereum (aproximadamente 3.8 millones de dólares). La vulnerabilidad radicaba en que el contrato no verificaba si la dirección del xToken del NFT en stake estaba en la lista blanca, y no se realizaba una verificación del estado del registro de colateral al tomar prestado.
Problemas de seguridad comunes en los contratos NFT
Suplantación y reutilización de firmas:
Falta la verificación de ejecución repetida
La verificación de la firma no es razonable
Vulnerabilidades lógicas:
Control inadecuado de la cantidad total de monedas
El orden de las transacciones durante el proceso de subasta depende de ataques.
Ataque de reentrada ERC721/ERC1155:
La función de notificación de transferencia puede causar reentrada
Alcance de autorización demasiado amplio:
La autorización global innecesaria puede llevar al robo de NFT
Manipulación de precios:
El precio de NFT depende de factores manipulables
Dada estos riesgos de seguridad, es crucial realizar auditorías de seguridad profesionales en los contratos de NFT, lo que puede prevenir de manera efectiva ataques y vulnerabilidades potenciales.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
6
Republicar
Compartir
Comentar
0/400
SnapshotStriker
· hace21h
Es mejor ir a jugar a cex, es más seguro.
Ver originalesResponder0
0xOverleveraged
· 08-08 17:18
Otra día de hacer el vago viendo Discord y recibiendo Cupones de clip.
Ver originalesResponder0
AlphaLeaker
· 08-08 16:39
Con el escudo en mano, ¿qué ataque puede preocuparnos?
Ver originalesResponder0
MindsetExpander
· 08-08 16:39
No hagas esa trampa ostentosa, entender si el contrato es lo que realmente importa.
Ver originalesResponder0
LiquidityWitch
· 08-08 16:39
6490w dólares... es simplemente ridículo
Ver originalesResponder0
GasFeeThunder
· 08-08 16:38
El gas va a subir de nuevo, mira los datos. Esta vez estoy arruinado.
Análisis de los riesgos de seguridad de los contratos NFT: casos típicos y medidas de prevención
Análisis de problemas de seguridad en contratos NFT y interpretación de casos típicos
En la primera mitad de 2022, ocurrieron varios incidentes de seguridad en el campo de NFT, causando pérdidas de aproximadamente 64.9 millones de dólares. Estos incidentes involucraron principalmente la explotación de vulnerabilidades en contratos, filtraciones de claves privadas y ataques de phishing. Es notable que los incidentes de phishing en la plataforma Discord son frecuentes, con servidores atacados casi a diario, lo que resulta en pérdidas frecuentes para los usuarios individuales.
Análisis de eventos de seguridad típicos
Evento TreasureDAO
El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada por hackers, lo que resultó en el robo de más de 100 NFT. La causa fundamental de este incidente fue una vulnerabilidad lógica en el contrato, donde la mezcla de tokens ERC-1155 y ERC-721 causó confusión lógica. Los tokens ERC-721 no tienen concepto de cantidad, pero el contrato utilizó cálculos de cantidad para determinar el precio de compra de los tokens, y no se realizó una separación lógica en la implementación de la transferencia de tokens.
evento de airdrop de APE Coin
El 17 de marzo de 2022, un hacker utilizó un préstamo relámpago para obtener más de 60,000 APE Coin en airdrops. La vulnerabilidad se encontraba en el contrato de airdrop, que usaba el estado instantáneo para determinar la propiedad del usuario sobre el NFT, y este estado podía ser manipulado a través de un préstamo relámpago.
evento de Revest Finance
El 27 de marzo de 2022, el proyecto Revest Finance fue atacado, con una pérdida de aproximadamente 120,000 dólares. Este es un ataque típico de reentrada ERC-1155, donde el contrato no verifica si ya existe al acuñar nuevos FNFT, y la variable de estado se incrementa después de ejecutar la función de acuñación, lo que provoca una vulnerabilidad de reentrada.
evento de aprovechamiento de la NBA
El 21 de abril de 2022, el proyecto de la NBA fue atacado. La vulnerabilidad involucraba problemas de suplantación y reutilización de firmas, el contrato no almacenaba las firmas ya utilizadas y no realizaba una verificación del remitente al pasar los parámetros.
Evento Akutar
El 23 de abril de 2022, el proyecto Akutar fue bloqueado debido a una vulnerabilidad en el contrato inteligente que resultó en 11,539 ETH (aproximadamente 34 millones de dólares) siendo bloqueados. El contrato presenta dos fallos lógicos clave: la función de reembolso podría ser maliciosamente bloqueada, y no se consideró la situación de las múltiples pujas de los usuarios.
evento XCarnival
El 24 de junio de 2022, XCarnival fue atacado, y los hackers obtuvieron 3087 Ethereum (aproximadamente 3.8 millones de dólares). La vulnerabilidad radicaba en que el contrato no verificaba si la dirección del xToken del NFT en stake estaba en la lista blanca, y no se realizaba una verificación del estado del registro de colateral al tomar prestado.
Problemas de seguridad comunes en los contratos NFT
Suplantación y reutilización de firmas:
Vulnerabilidades lógicas:
Ataque de reentrada ERC721/ERC1155:
Alcance de autorización demasiado amplio:
Manipulación de precios:
Dada estos riesgos de seguridad, es crucial realizar auditorías de seguridad profesionales en los contratos de NFT, lo que puede prevenir de manera efectiva ataques y vulnerabilidades potenciales.