Análisis de problemas comunes en la auditoría de seguridad de contratos NFT
En la primera mitad de 2022, ocurrieron varios incidentes de seguridad en el ámbito de los NFT, causando pérdidas de aproximadamente 64.9 millones de dólares. Las principales formas de ataque incluyen la explotación de vulnerabilidades en contratos, filtración de claves privadas y phishing. Estos incidentes destacan la importancia de la auditoría de seguridad en los contratos de NFT.
Revisión de incidentes de seguridad típicos
Evento TreasureDAO: debido a una vulnerabilidad lógica causada por la mezcla de tokens ERC-1155 y ERC-721, los atacantes pudieron comprar NFT pagando 0 tokens.
Evento de airdrop de APE Coin: El contrato de airdrop utilizó un estado instantáneo que podía ser manipulado por préstamos relámpago para determinar la propiedad de NFT, lo que permitió a los atacantes pedir prestado NFTs y obtener el airdrop.
Evento de Revest Finance: La vulnerabilidad de reentrada ERC-1155 permitió a los atacantes acuñar FNFT repetidamente, causando pérdidas de aproximadamente 120,000 dólares.
Incidente de aprovechamiento del proyecto NBA: existen problemas de suplantación y reutilización de la verificación de firmas en el contrato, lo que permite a los atacantes reutilizar o suplantar firmas.
Evento Akutar: Un fallo en la lógica del contrato provocó que activos por valor de aproximadamente 34 millones de dólares quedaran bloqueados, siendo la principal razón que no se consideró la posibilidad de que los usuarios pudieran pujar por múltiples NFT.
Evento XCarnival: La vulnerabilidad lógica en el contrato permitió a los atacantes utilizar repetidamente registros de garantía inválidos para obtener préstamos, causando una pérdida de aproximadamente 3.8 millones de dólares.
Problemas comunes en la auditoría de contratos NFT
Uso indebido y reutilización de firmas
Falta la verificación de ejecución repetida, como el nonce del usuario
La verificación de la firma es irrazonable, como no verificar el caso en que el firmante es la dirección cero.
Fallo lógico
El administrador puede eludir el límite total para acuñar monedas
Existe un riesgo de ataque de dependencia del orden de transacción durante el proceso de subasta.
Ataque de reentrada ERC721/ERC1155
El uso de la función de notificación de transferencia puede provocar un ataque de reentrada
El alcance de la autorización es demasiado amplio
Requiere autorización global en lugar de autorización por token individual, aumentando el riesgo de robo de NFT.
Manipulación de precios
El precio de NFT depende de factores externos que pueden ser manipulados, como la cantidad de tokens en posesión.
Estos problemas aparecen con frecuencia en ataques reales, destacando la necesidad de auditorías de seguridad profesionales. Las partes del proyecto deben dar importancia a la seguridad de los contratos y buscar instituciones profesionales para llevar a cabo auditorías completas, con el fin de reducir los riesgos de seguridad.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
19 me gusta
Recompensa
19
6
Compartir
Comentar
0/400
SchrodingersFOMO
· 07-17 14:07
¿No es así como se pierde la contraseña de la muerte?
Ver originalesResponder0
ForumMiningMaster
· 07-14 15:37
Tsk tsk, otra lección dolorosa de un proyecto que ha sido robado.
Ver originalesResponder0
GweiWatcher
· 07-14 15:37
Otra vez he perdido, las pérdidas son un poco duras.
Ver originalesResponder0
ProposalDetective
· 07-14 15:34
6490w es realmente miserable
Ver originalesResponder0
screenshot_gains
· 07-14 15:28
Ya he dicho cuántas veces, es hora de hacer un Rug Pull.
Ver originalesResponder0
DefiPlaybook
· 07-14 15:15
No puedo sobrevivir, sé demasiado sobre la seguridad de los contratos.
Auditoría de contratos NFT: Análisis de 6 vulnerabilidades críticas y eventos de seguridad
Análisis de problemas comunes en la auditoría de seguridad de contratos NFT
En la primera mitad de 2022, ocurrieron varios incidentes de seguridad en el ámbito de los NFT, causando pérdidas de aproximadamente 64.9 millones de dólares. Las principales formas de ataque incluyen la explotación de vulnerabilidades en contratos, filtración de claves privadas y phishing. Estos incidentes destacan la importancia de la auditoría de seguridad en los contratos de NFT.
Revisión de incidentes de seguridad típicos
Evento TreasureDAO: debido a una vulnerabilidad lógica causada por la mezcla de tokens ERC-1155 y ERC-721, los atacantes pudieron comprar NFT pagando 0 tokens.
Evento de airdrop de APE Coin: El contrato de airdrop utilizó un estado instantáneo que podía ser manipulado por préstamos relámpago para determinar la propiedad de NFT, lo que permitió a los atacantes pedir prestado NFTs y obtener el airdrop.
Evento de Revest Finance: La vulnerabilidad de reentrada ERC-1155 permitió a los atacantes acuñar FNFT repetidamente, causando pérdidas de aproximadamente 120,000 dólares.
Incidente de aprovechamiento del proyecto NBA: existen problemas de suplantación y reutilización de la verificación de firmas en el contrato, lo que permite a los atacantes reutilizar o suplantar firmas.
Evento Akutar: Un fallo en la lógica del contrato provocó que activos por valor de aproximadamente 34 millones de dólares quedaran bloqueados, siendo la principal razón que no se consideró la posibilidad de que los usuarios pudieran pujar por múltiples NFT.
Evento XCarnival: La vulnerabilidad lógica en el contrato permitió a los atacantes utilizar repetidamente registros de garantía inválidos para obtener préstamos, causando una pérdida de aproximadamente 3.8 millones de dólares.
Problemas comunes en la auditoría de contratos NFT
Uso indebido y reutilización de firmas
Fallo lógico
Ataque de reentrada ERC721/ERC1155
El alcance de la autorización es demasiado amplio
Manipulación de precios
Estos problemas aparecen con frecuencia en ataques reales, destacando la necesidad de auditorías de seguridad profesionales. Las partes del proyecto deben dar importancia a la seguridad de los contratos y buscar instituciones profesionales para llevar a cabo auditorías completas, con el fin de reducir los riesgos de seguridad.