Sécurité des contrats NFT : Revue des événements du premier semestre 2022 et points clés d'audit
Au cours du premier semestre 2022, le domaine des NFT a connu de fréquents incidents de sécurité, entraînant d'énormes pertes économiques. Selon une plateforme de sécurité blockchain, 10 incidents majeurs de sécurité liés aux NFT ont été signalés au cours du semestre, avec une perte totale d'environ 64,9 millions de dollars. Les méthodes d'attaque incluent principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing. Il convient de noter que les incidents de phishing sur Discord se produisent presque quotidiennement, de nombreux utilisateurs subissant des pertes après avoir cliqué sur des liens de phishing.
Analyse des événements de sécurité typiques
événement TreasureDAO
Le 3 mars 2022, la plateforme d'échange TreasureDAO a été piratée, entraînant le vol de plus de 100 NFT. La vulnérabilité se trouvait dans la fonction buyItem du contrat TreasureMarketplaceBuyer, où l'absence de vérification des types de jetons a permis d'acheter des jetons avec un montant de paiement en jeton ERC-20 égal à 0. Ce problème provient de la confusion logique causée par le mélange des jetons ERC-1155 et ERC-721.
Événement d'airdrop APE Coin
Le 17 mars 2022, des hackers ont obtenu plus de 60 000 APE Coin par le biais d'un prêt éclair. La faille se trouvait dans le contrat de l'airdrop AirdropGrapesToken, qui ne vérifiait que l'état de propriété instantanée des utilisateurs sur les NFT, sans tenir compte des impacts potentiels des prêts éclair.
Événement Revest Finance
Le 27 mars 2022, Revest Finance a été attaqué, entraînant une perte d'environ 120 000 dollars. La vulnérabilité impliquait une attaque de réentrance ERC-1155, survenue dans la fonction depositAdditionalToFNFT() du contrat Revest.
événement NBA de profit opportun
Le 21 avril 2022, l'équipe NBA a subi une attaque. Le contrat The_Association_Sales présentait des problèmes de contrefaçon et de réutilisation de signature lors de la vérification de la liste blanche, sans stockage des signatures déjà utilisées ni vérification de msg.sender.
Événement Akutar
Le 23 avril 2022, le contrat AkuAuction du projet Akutar a été bloqué en raison d'une faille logique, entraînant la perte de 11 539 ETH (environ 34 millions de dollars). Les principaux problèmes incluent une conception inadéquate de la fonction de remboursement et le fait que les cas d'enchères multiples par les utilisateurs n'ont pas été pris en compte.
Événement XCarnival
Le 24 juin 2022, le protocole de prêt NFT XCarnival a été attaqué, entraînant une perte d'environ 3,8 millions de dollars. La fonction pledgeAndBorrow du contrat XNFT présentait une vulnérabilité logique, ne vérifiant pas efficacement l'adresse xToken et l'état des enregistrements de garantie.
Questions fréquentes sur l'audit des contrats NFT
Usurpation et réutilisation de signature :
Vérification de l'exécution répétée manquante
Vérification de la signature déraisonnable
Vulnérabilité logique :
Mauvaise gestion du contrôle de l'offre totale de pièces
L'ordre des transactions lors du processus d'enchères dépend des attaques
Attaque par réentrance ERC721/ERC1155 :
La fonction de notification de transfert peut entraîner une réentrée
Champ d'autorisation trop large :
Risque d'autorisation globale inutile
Manipulation des prix :
Le prix des NFT dépend de facteurs facilement manipulables
Étant donné la fréquence des incidents de sécurité liés aux contrats NFT, les équipes de projet doivent accorder une importance particulière à l'audit de la sécurité des contrats afin de prévenir les risques potentiels et de protéger la sécurité des actifs des utilisateurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
23 J'aime
Récompense
23
9
Partager
Commentaire
0/400
GhostWalletSleuth
· 07-20 14:42
Encore l'histoire de sang et de larmes des pigeons, sigh.
Voir l'originalRépondre0
just_here_for_vibes
· 07-20 14:30
Vérifiez d'abord le contrat !
Voir l'originalRépondre0
GreenCandleCollector
· 07-19 22:51
Encore se faire prendre pour des cons.
Voir l'originalRépondre0
BrokenDAO
· 07-17 15:12
Trop de fonds, même un audit ne peut pas aider, la véritable nature est toujours un défaut humain.
Voir l'originalRépondre0
CryptoCross-TalkClub
· 07-17 15:12
Se faire prendre pour des cons contrat a de nouveau commencé, ce soir je vais raconter un nouveau sketch.
Voir l'originalRépondre0
ILCollector
· 07-17 15:04
Encore une saison de récolte des pigeons.
Voir l'originalRépondre0
ProveMyZK
· 07-17 15:04
Il existe de nombreuses compétences dans la coupe des poireaux
Voir l'originalRépondre0
CryptoWageSlave
· 07-17 15:01
C'est vraiment douloureux de voir ça.
Voir l'originalRépondre0
HodlBeliever
· 07-17 14:59
Ne pas faire de gestion des risques équivaut à un suicide lent.
Alerte de sécurité des contrats NFT : 10 incidents en première moitié de 2022 ont causé une perte de 64,9 millions de dollars.
Sécurité des contrats NFT : Revue des événements du premier semestre 2022 et points clés d'audit
Au cours du premier semestre 2022, le domaine des NFT a connu de fréquents incidents de sécurité, entraînant d'énormes pertes économiques. Selon une plateforme de sécurité blockchain, 10 incidents majeurs de sécurité liés aux NFT ont été signalés au cours du semestre, avec une perte totale d'environ 64,9 millions de dollars. Les méthodes d'attaque incluent principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing. Il convient de noter que les incidents de phishing sur Discord se produisent presque quotidiennement, de nombreux utilisateurs subissant des pertes après avoir cliqué sur des liens de phishing.
Analyse des événements de sécurité typiques
événement TreasureDAO
Le 3 mars 2022, la plateforme d'échange TreasureDAO a été piratée, entraînant le vol de plus de 100 NFT. La vulnérabilité se trouvait dans la fonction buyItem du contrat TreasureMarketplaceBuyer, où l'absence de vérification des types de jetons a permis d'acheter des jetons avec un montant de paiement en jeton ERC-20 égal à 0. Ce problème provient de la confusion logique causée par le mélange des jetons ERC-1155 et ERC-721.
Événement d'airdrop APE Coin
Le 17 mars 2022, des hackers ont obtenu plus de 60 000 APE Coin par le biais d'un prêt éclair. La faille se trouvait dans le contrat de l'airdrop AirdropGrapesToken, qui ne vérifiait que l'état de propriété instantanée des utilisateurs sur les NFT, sans tenir compte des impacts potentiels des prêts éclair.
Événement Revest Finance
Le 27 mars 2022, Revest Finance a été attaqué, entraînant une perte d'environ 120 000 dollars. La vulnérabilité impliquait une attaque de réentrance ERC-1155, survenue dans la fonction depositAdditionalToFNFT() du contrat Revest.
événement NBA de profit opportun
Le 21 avril 2022, l'équipe NBA a subi une attaque. Le contrat The_Association_Sales présentait des problèmes de contrefaçon et de réutilisation de signature lors de la vérification de la liste blanche, sans stockage des signatures déjà utilisées ni vérification de msg.sender.
Événement Akutar
Le 23 avril 2022, le contrat AkuAuction du projet Akutar a été bloqué en raison d'une faille logique, entraînant la perte de 11 539 ETH (environ 34 millions de dollars). Les principaux problèmes incluent une conception inadéquate de la fonction de remboursement et le fait que les cas d'enchères multiples par les utilisateurs n'ont pas été pris en compte.
Événement XCarnival
Le 24 juin 2022, le protocole de prêt NFT XCarnival a été attaqué, entraînant une perte d'environ 3,8 millions de dollars. La fonction pledgeAndBorrow du contrat XNFT présentait une vulnérabilité logique, ne vérifiant pas efficacement l'adresse xToken et l'état des enregistrements de garantie.
Questions fréquentes sur l'audit des contrats NFT
Usurpation et réutilisation de signature :
Vulnérabilité logique :
Attaque par réentrance ERC721/ERC1155 :
Champ d'autorisation trop large :
Manipulation des prix :
Étant donné la fréquence des incidents de sécurité liés aux contrats NFT, les équipes de projet doivent accorder une importance particulière à l'audit de la sécurité des contrats afin de prévenir les risques potentiels et de protéger la sécurité des actifs des utilisateurs.