Analyse des problèmes courants dans l'audit de sécurité des contrats NFT
Au cours du premier semestre 2022, plusieurs incidents de sécurité se sont produits dans le domaine des NFT, entraînant des pertes d'environ 64,9 millions de dollars. Les principales méthodes d'attaque incluent l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing, entre autres. Ces événements soulignent l'importance de l'audit de sécurité des contrats NFT.
Revue des incidents de sécurité typiques
Événement TreasureDAO : En raison d'une vulnérabilité logique causée par l'utilisation mixte des jetons ERC-1155 et ERC-721, les attaquants ont pu acheter des NFT en payant 0 jeton.
Événement de distribution de jetons APE Coin : le contrat de distribution utilise un état instantané pouvant être manipulé par des prêts flash pour déterminer la propriété des NFT, ce qui permet aux attaquants d'emprunter des NFT et d'obtenir la distribution.
Événement Revest Finance : Une vulnérabilité de réentrance ERC-1155 a permis aux attaquants de frapper à plusieurs reprises des FNFT, entraînant une perte d'environ 120 000 dollars.
Événement de profit sur le projet NBA : des problèmes d'usurpation et de réutilisation de signature existent dans le contrat, permettant aux attaquants de réutiliser ou d'usurper des signatures.
Événement Akutar : une vulnérabilité dans la logique du contrat a entraîné le blocage d'environ 34 millions de dollars d'actifs, la principale raison étant que la possibilité pour les utilisateurs de soumissionner sur plusieurs NFT n'a pas été prise en compte.
Événement XCarnival : Une faille logique dans le contrat a permis aux attaquants d'utiliser plusieurs fois des enregistrements de garantie invalides pour emprunter, entraînant une perte d'environ 3,8 millions de dollars.
Problèmes courants dans l'audit de contrats NFT
Détournement et réutilisation de signature
Manque de vérification de réexécution, comme le nonce de l'utilisateur
Vérification de la signature irrationnelle, comme si le signataire n'était pas vérifié pour l'adresse zéro.
Failles logiques
Les administrateurs peuvent contourner la limite de quantité pour frapper des pièces.
Il existe un risque d'attaque par dépendance de l'ordre des transactions pendant le processus de vente aux enchères.
Attaque par réentrance ERC721/ERC1155
L'utilisation de la fonctionnalité de notification de transfert peut entraîner des attaques par réinjection.
Portée de l'autorisation trop large
Exiger une autorisation globale plutôt qu'une autorisation de jeton unique, augmentant le risque de vol de NFT
Manipulation des prix
Le prix des NFT dépend de facteurs externes qui peuvent être manipulés, tels que la quantité de jetons détenus.
Ces problèmes apparaissent fréquemment lors des attaques réelles, mettant en évidence la nécessité d'audits de sécurité professionnels. Les équipes de projet doivent accorder de l'importance à la sécurité des contrats et faire appel à des organismes professionnels pour effectuer des audits complets afin de réduire les risques de sécurité.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
19 J'aime
Récompense
19
6
Partager
Commentaire
0/400
SchrodingersFOMO
· 07-17 14:07
Le mot de passe de la mort n'est-il pas ainsi perdu ?
Voir l'originalRépondre0
ForumMiningMaster
· 07-14 15:37
Tsk tsk, encore une leçon de sang d'un projet volé.
Voir l'originalRépondre0
GweiWatcher
· 07-14 15:37
Encore perdu de l'argent, les pertes sont un peu sévères.
Voir l'originalRépondre0
ProposalDetective
· 07-14 15:34
6490w c'est vraiment pitoyable.
Voir l'originalRépondre0
screenshot_gains
· 07-14 15:28
J'ai dit combien de fois qu'il fallait faire un Rug Pull.
Voir l'originalRépondre0
DefiPlaybook
· 07-14 15:15
Je comprends trop bien la sécurité des contrats, même si je ne peux pas survivre, je tire toujours parti.
Audit de contrat NFT : analyse des 6 vulnérabilités critiques et des incidents de sécurité
Analyse des problèmes courants dans l'audit de sécurité des contrats NFT
Au cours du premier semestre 2022, plusieurs incidents de sécurité se sont produits dans le domaine des NFT, entraînant des pertes d'environ 64,9 millions de dollars. Les principales méthodes d'attaque incluent l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing, entre autres. Ces événements soulignent l'importance de l'audit de sécurité des contrats NFT.
Revue des incidents de sécurité typiques
Événement TreasureDAO : En raison d'une vulnérabilité logique causée par l'utilisation mixte des jetons ERC-1155 et ERC-721, les attaquants ont pu acheter des NFT en payant 0 jeton.
Événement de distribution de jetons APE Coin : le contrat de distribution utilise un état instantané pouvant être manipulé par des prêts flash pour déterminer la propriété des NFT, ce qui permet aux attaquants d'emprunter des NFT et d'obtenir la distribution.
Événement Revest Finance : Une vulnérabilité de réentrance ERC-1155 a permis aux attaquants de frapper à plusieurs reprises des FNFT, entraînant une perte d'environ 120 000 dollars.
Événement de profit sur le projet NBA : des problèmes d'usurpation et de réutilisation de signature existent dans le contrat, permettant aux attaquants de réutiliser ou d'usurper des signatures.
Événement Akutar : une vulnérabilité dans la logique du contrat a entraîné le blocage d'environ 34 millions de dollars d'actifs, la principale raison étant que la possibilité pour les utilisateurs de soumissionner sur plusieurs NFT n'a pas été prise en compte.
Événement XCarnival : Une faille logique dans le contrat a permis aux attaquants d'utiliser plusieurs fois des enregistrements de garantie invalides pour emprunter, entraînant une perte d'environ 3,8 millions de dollars.
Problèmes courants dans l'audit de contrats NFT
Détournement et réutilisation de signature
Failles logiques
Attaque par réentrance ERC721/ERC1155
Portée de l'autorisation trop large
Manipulation des prix
Ces problèmes apparaissent fréquemment lors des attaques réelles, mettant en évidence la nécessité d'audits de sécurité professionnels. Les équipes de projet doivent accorder de l'importance à la sécurité des contrats et faire appel à des organismes professionnels pour effectuer des audits complets afin de réduire les risques de sécurité.