Audit de contrat NFT : analyse des 6 vulnérabilités critiques et des incidents de sécurité

robot
Création du résumé en cours

Analyse des problèmes courants dans l'audit de sécurité des contrats NFT

Au cours du premier semestre 2022, plusieurs incidents de sécurité se sont produits dans le domaine des NFT, entraînant des pertes d'environ 64,9 millions de dollars. Les principales méthodes d'attaque incluent l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing, entre autres. Ces événements soulignent l'importance de l'audit de sécurité des contrats NFT.

Analyse des incidents de sécurité NFT du premier semestre : quels cas typiques devons-nous surveiller ?

Revue des incidents de sécurité typiques

  1. Événement TreasureDAO : En raison d'une vulnérabilité logique causée par l'utilisation mixte des jetons ERC-1155 et ERC-721, les attaquants ont pu acheter des NFT en payant 0 jeton.

  2. Événement de distribution de jetons APE Coin : le contrat de distribution utilise un état instantané pouvant être manipulé par des prêts flash pour déterminer la propriété des NFT, ce qui permet aux attaquants d'emprunter des NFT et d'obtenir la distribution.

  3. Événement Revest Finance : Une vulnérabilité de réentrance ERC-1155 a permis aux attaquants de frapper à plusieurs reprises des FNFT, entraînant une perte d'environ 120 000 dollars.

  4. Événement de profit sur le projet NBA : des problèmes d'usurpation et de réutilisation de signature existent dans le contrat, permettant aux attaquants de réutiliser ou d'usurper des signatures.

  5. Événement Akutar : une vulnérabilité dans la logique du contrat a entraîné le blocage d'environ 34 millions de dollars d'actifs, la principale raison étant que la possibilité pour les utilisateurs de soumissionner sur plusieurs NFT n'a pas été prise en compte.

  6. Événement XCarnival : Une faille logique dans le contrat a permis aux attaquants d'utiliser plusieurs fois des enregistrements de garantie invalides pour emprunter, entraînant une perte d'environ 3,8 millions de dollars.

Analyse des incidents de sécurité NFT au premier semestre : quels cas typiques devrions-nous surveiller ?

Problèmes courants dans l'audit de contrats NFT

  1. Détournement et réutilisation de signature

    • Manque de vérification de réexécution, comme le nonce de l'utilisateur
    • Vérification de la signature irrationnelle, comme si le signataire n'était pas vérifié pour l'adresse zéro.
  2. Failles logiques

    • Les administrateurs peuvent contourner la limite de quantité pour frapper des pièces.
    • Il existe un risque d'attaque par dépendance de l'ordre des transactions pendant le processus de vente aux enchères.
  3. Attaque par réentrance ERC721/ERC1155

    • L'utilisation de la fonctionnalité de notification de transfert peut entraîner des attaques par réinjection.
  4. Portée de l'autorisation trop large

    • Exiger une autorisation globale plutôt qu'une autorisation de jeton unique, augmentant le risque de vol de NFT
  5. Manipulation des prix

    • Le prix des NFT dépend de facteurs externes qui peuvent être manipulés, tels que la quantité de jetons détenus.

Ces problèmes apparaissent fréquemment lors des attaques réelles, mettant en évidence la nécessité d'audits de sécurité professionnels. Les équipes de projet doivent accorder de l'importance à la sécurité des contrats et faire appel à des organismes professionnels pour effectuer des audits complets afin de réduire les risques de sécurité.

Analyse des événements de sécurité NFT du premier semestre : quels cas typiques devons-nous surveiller ?

APE-1.31%
XCV14.64%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • 6
  • Partager
Commentaire
0/400
SchrodingersFOMOvip
· 07-17 14:07
Le mot de passe de la mort n'est-il pas ainsi perdu ?
Voir l'originalRépondre0
ForumMiningMastervip
· 07-14 15:37
Tsk tsk, encore une leçon de sang d'un projet volé.
Voir l'originalRépondre0
GweiWatchervip
· 07-14 15:37
Encore perdu de l'argent, les pertes sont un peu sévères.
Voir l'originalRépondre0
ProposalDetectivevip
· 07-14 15:34
6490w c'est vraiment pitoyable.
Voir l'originalRépondre0
screenshot_gainsvip
· 07-14 15:28
J'ai dit combien de fois qu'il fallait faire un Rug Pull.
Voir l'originalRépondre0
DefiPlaybookvip
· 07-14 15:15
Je comprends trop bien la sécurité des contrats, même si je ne peux pas survivre, je tire toujours parti.
Voir l'originalRépondre0
  • Épingler
Trader les cryptos partout et à tout moment
qrCode
Scan pour télécharger Gate app
Communauté
Français (Afrique)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)