Análise de problemas de segurança em contratos NFT e interpretação de casos típicos
No primeiro semestre de 2022, ocorreram vários incidentes de segurança no setor de NFT, resultando em perdas de cerca de 64,9 milhões de dólares. Esses incidentes envolveram principalmente exploração de vulnerabilidades em contratos, vazamento de chaves privadas e ataques de phishing. É importante notar que os incidentes de phishing na plataforma Discord são frequentes, com servidores atacados quase todos os dias, levando a perdas frequentes para usuários individuais.
Análise de Incidentes de Segurança Típicos
evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi alvo de um ataque hacker, resultando no roubo de mais de 100 NFTs. A causa fundamental deste incidente foi uma falha lógica no contrato, que levou à confusão lógica devido à mistura de tokens ERC-1155 e ERC-721. Os tokens ERC-721 não têm conceito de quantidade, mas o contrato utilizou cálculos de quantidade para determinar o preço de compra dos tokens, e na implementação da transferência de tokens não houve separação lógica.
Evento de airdrop da APE Coin
No dia 17 de março de 2022, hackers usaram um empréstimo relâmpago para obter mais de 60.000 APE Coin em airdrop. A vulnerabilidade estava no contrato de airdrop, que usava um estado instantâneo para determinar a propriedade de NFT pelos usuários, e esse estado podia ser manipulado através de empréstimos relâmpago.
Evento Revest Finance
Em 27 de março de 2022, o projeto Revest Finance sofreu um ataque, resultando em uma perda de aproximadamente 120.000 dólares. Este é um caso típico de ataque de reentrada ERC-1155, onde o contrato não verificou se já existia ao criar um novo FNFT, e a variável de estado foi incrementada após a execução da função de criação, levando a uma vulnerabilidade de reentrada.
NBA薅羊毛事件
No dia 21 de abril de 2022, o projeto da NBA foi alvo de um ataque. A vulnerabilidade envolvia problemas de falsificação e reutilização de assinaturas, o contrato não armazenava assinaturas já utilizadas e não realizava a verificação do remetente ao passar os parâmetros.
Akutar事件
No dia 23 de abril de 2022, o projeto Akutar teve 11.539 ETH (cerca de 34 milhões de dólares) bloqueados devido a uma vulnerabilidade no contrato inteligente. O contrato apresentava duas falhas lógicas críticas: a função de reembolso poderia ser interrompida maliciosamente e não considerava a possibilidade de os usuários fazerem lances múltiplos.
Evento XCarnival
No dia 24 de junho de 2022, o XCarnival foi atacado, e os hackers lucraram 3087 ethers (cerca de 3,8 milhões de dólares). A vulnerabilidade estava no fato de que o contrato não verificava se o endereço do xToken do NFT em garantia estava na lista branca, e que ao emprestar não havia verificação do estado do registro de colateral.
Problemas de segurança comuns em contratos NFT
Uso e reutilização de assinaturas:
Falta de validação de execução duplicada
Verificação de assinatura não razoável
Falha lógica:
Controle inadequado da quantidade total de moedas
A ordem das transações durante o processo de leilão depende de ataques
Ataque de reentrada ERC721/ERC1155:
A função de notificação de transferência pode levar a reentradas
A gama de autorização é demasiado ampla:
Autorizações globais desnecessárias podem levar ao roubo de NFTs
Manipulação de preços:
O preço do NFT depende de fatores que podem ser manipulados
Dada a estes riscos de segurança, é crucial realizar uma auditoria de segurança profissional nos contratos de NFT, pois isso pode prevenir eficazmente ataques e vulnerabilidades potenciais.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
14 Curtidas
Recompensa
14
6
Repostar
Compartilhar
Comentário
0/400
SnapshotStriker
· 20h atrás
Ainda é melhor ir jogar em uma cex que é mais seguro.
Ver originalResponder0
0xOverleveraged
· 08-08 17:18
Outra dia a relaxar a ver Discord e a usar Cupões de Recorte
Ver originalResponder0
AlphaLeaker
· 08-08 16:39
Com o escudo na mão, de que serve temer ataques?
Ver originalResponder0
MindsetExpander
· 08-08 16:39
Não fique com essas armadilhas cheias de frescuras; entender os contratos é o verdadeiro talento.
Análise de riscos de segurança em contratos NFT: Casos típicos e medidas de prevenção
Análise de problemas de segurança em contratos NFT e interpretação de casos típicos
No primeiro semestre de 2022, ocorreram vários incidentes de segurança no setor de NFT, resultando em perdas de cerca de 64,9 milhões de dólares. Esses incidentes envolveram principalmente exploração de vulnerabilidades em contratos, vazamento de chaves privadas e ataques de phishing. É importante notar que os incidentes de phishing na plataforma Discord são frequentes, com servidores atacados quase todos os dias, levando a perdas frequentes para usuários individuais.
Análise de Incidentes de Segurança Típicos
evento TreasureDAO
No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi alvo de um ataque hacker, resultando no roubo de mais de 100 NFTs. A causa fundamental deste incidente foi uma falha lógica no contrato, que levou à confusão lógica devido à mistura de tokens ERC-1155 e ERC-721. Os tokens ERC-721 não têm conceito de quantidade, mas o contrato utilizou cálculos de quantidade para determinar o preço de compra dos tokens, e na implementação da transferência de tokens não houve separação lógica.
Evento de airdrop da APE Coin
No dia 17 de março de 2022, hackers usaram um empréstimo relâmpago para obter mais de 60.000 APE Coin em airdrop. A vulnerabilidade estava no contrato de airdrop, que usava um estado instantâneo para determinar a propriedade de NFT pelos usuários, e esse estado podia ser manipulado através de empréstimos relâmpago.
Evento Revest Finance
Em 27 de março de 2022, o projeto Revest Finance sofreu um ataque, resultando em uma perda de aproximadamente 120.000 dólares. Este é um caso típico de ataque de reentrada ERC-1155, onde o contrato não verificou se já existia ao criar um novo FNFT, e a variável de estado foi incrementada após a execução da função de criação, levando a uma vulnerabilidade de reentrada.
NBA薅羊毛事件
No dia 21 de abril de 2022, o projeto da NBA foi alvo de um ataque. A vulnerabilidade envolvia problemas de falsificação e reutilização de assinaturas, o contrato não armazenava assinaturas já utilizadas e não realizava a verificação do remetente ao passar os parâmetros.
Akutar事件
No dia 23 de abril de 2022, o projeto Akutar teve 11.539 ETH (cerca de 34 milhões de dólares) bloqueados devido a uma vulnerabilidade no contrato inteligente. O contrato apresentava duas falhas lógicas críticas: a função de reembolso poderia ser interrompida maliciosamente e não considerava a possibilidade de os usuários fazerem lances múltiplos.
Evento XCarnival
No dia 24 de junho de 2022, o XCarnival foi atacado, e os hackers lucraram 3087 ethers (cerca de 3,8 milhões de dólares). A vulnerabilidade estava no fato de que o contrato não verificava se o endereço do xToken do NFT em garantia estava na lista branca, e que ao emprestar não havia verificação do estado do registro de colateral.
Problemas de segurança comuns em contratos NFT
Uso e reutilização de assinaturas:
Falha lógica:
Ataque de reentrada ERC721/ERC1155:
A gama de autorização é demasiado ampla:
Manipulação de preços:
Dada a estes riscos de segurança, é crucial realizar uma auditoria de segurança profissional nos contratos de NFT, pois isso pode prevenir eficazmente ataques e vulnerabilidades potenciais.