Auditoría de contratos NFT: Análisis de 6 vulnerabilidades críticas y eventos de seguridad

robot
Generación de resúmenes en curso

Análisis de problemas comunes en la auditoría de seguridad de contratos NFT

En la primera mitad de 2022, ocurrieron varios incidentes de seguridad en el ámbito de los NFT, causando pérdidas de aproximadamente 64.9 millones de dólares. Las principales formas de ataque incluyen la explotación de vulnerabilidades en contratos, filtración de claves privadas y phishing. Estos incidentes destacan la importancia de la auditoría de seguridad en los contratos de NFT.

Análisis de eventos de seguridad de NFT en la primera mitad del año: ¿qué casos típicos debemos tener en cuenta?

Revisión de incidentes de seguridad típicos

  1. Evento TreasureDAO: debido a una vulnerabilidad lógica causada por la mezcla de tokens ERC-1155 y ERC-721, los atacantes pudieron comprar NFT pagando 0 tokens.

  2. Evento de airdrop de APE Coin: El contrato de airdrop utilizó un estado instantáneo que podía ser manipulado por préstamos relámpago para determinar la propiedad de NFT, lo que permitió a los atacantes pedir prestado NFTs y obtener el airdrop.

  3. Evento de Revest Finance: La vulnerabilidad de reentrada ERC-1155 permitió a los atacantes acuñar FNFT repetidamente, causando pérdidas de aproximadamente 120,000 dólares.

  4. Incidente de aprovechamiento del proyecto NBA: existen problemas de suplantación y reutilización de la verificación de firmas en el contrato, lo que permite a los atacantes reutilizar o suplantar firmas.

  5. Evento Akutar: Un fallo en la lógica del contrato provocó que activos por valor de aproximadamente 34 millones de dólares quedaran bloqueados, siendo la principal razón que no se consideró la posibilidad de que los usuarios pudieran pujar por múltiples NFT.

  6. Evento XCarnival: La vulnerabilidad lógica en el contrato permitió a los atacantes utilizar repetidamente registros de garantía inválidos para obtener préstamos, causando una pérdida de aproximadamente 3.8 millones de dólares.

Análisis de eventos de seguridad de NFT en la primera mitad del año: ¿qué casos típicos debemos vigilar?

Problemas comunes en la auditoría de contratos NFT

  1. Uso indebido y reutilización de firmas

    • Falta la verificación de ejecución repetida, como el nonce del usuario
    • La verificación de la firma es irrazonable, como no verificar el caso en que el firmante es la dirección cero.
  2. Fallo lógico

    • El administrador puede eludir el límite total para acuñar monedas
    • Existe un riesgo de ataque de dependencia del orden de transacción durante el proceso de subasta.
  3. Ataque de reentrada ERC721/ERC1155

    • El uso de la función de notificación de transferencia puede provocar un ataque de reentrada
  4. El alcance de la autorización es demasiado amplio

    • Requiere autorización global en lugar de autorización por token individual, aumentando el riesgo de robo de NFT.
  5. Manipulación de precios

    • El precio de NFT depende de factores externos que pueden ser manipulados, como la cantidad de tokens en posesión.

Estos problemas aparecen con frecuencia en ataques reales, destacando la necesidad de auditorías de seguridad profesionales. Las partes del proyecto deben dar importancia a la seguridad de los contratos y buscar instituciones profesionales para llevar a cabo auditorías completas, con el fin de reducir los riesgos de seguridad.

Análisis de eventos de seguridad NFT del primer semestre: ¿Qué casos típicos debemos tener en cuenta?

APE2.31%
XCV-1.17%
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
  • Recompensa
  • 6
  • Compartir
Comentar
0/400
SchrodingersFOMOvip
· 07-17 14:07
¿No es así como se pierde la contraseña de la muerte?
Ver originalesResponder0
ForumMiningMastervip
· 07-14 15:37
Tsk tsk, otra lección dolorosa de un proyecto que ha sido robado.
Ver originalesResponder0
GweiWatchervip
· 07-14 15:37
Otra vez he perdido, las pérdidas son un poco duras.
Ver originalesResponder0
ProposalDetectivevip
· 07-14 15:34
6490w es realmente miserable
Ver originalesResponder0
screenshot_gainsvip
· 07-14 15:28
Ya he dicho cuántas veces, es hora de hacer un Rug Pull.
Ver originalesResponder0
DefiPlaybookvip
· 07-14 15:15
No puedo sobrevivir, sé demasiado sobre la seguridad de los contratos.
Ver originalesResponder0
  • Anclado
Opere con criptomonedas en cualquier momento y lugar
qrCode
Escanee para descargar la aplicación Gate
Comunidad
Español
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)