Análise das questões comuns na auditoria de segurança de contratos NFT
No primeiro semestre de 2022, ocorreram vários incidentes de segurança no campo dos NFTs, resultando em perdas de cerca de 64,9 milhões de dólares. As principais formas de ataque incluem a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Esses eventos destacam a importância da auditoria de segurança de contratos de NFTs.
Revisão de eventos de segurança típicos
Evento TreasureDAO: devido a uma falha lógica causada pela mistura de tokens ERC-1155 e ERC-721, os atacantes conseguiram comprar NFTs ao pagar 0 tokens.
Evento de airdrop do APE Coin: O contrato de airdrop utilizou um estado instantâneo que pode ser manipulado por empréstimos relâmpago para determinar a propriedade do NFT, permitindo que os atacantes pegassem emprestado o NFT e recebessem o airdrop.
Evento Revest Finance: A vulnerabilidade de reentrada ERC-1155 permitiu que atacantes cunhassem repetidamente FNFT, resultando em perdas de aproximadamente 120.000 dólares.
Evento de exploração do projeto NBA: existem problemas de verificação de assinatura no contrato que permitem que atacantes reutilizem ou falsifiquem assinaturas.
Evento Akutar: uma falha na lógica do contrato levou ao bloqueio de ativos no valor de cerca de 34 milhões de dólares, sendo a principal razão a não consideração da possibilidade de os usuários licitarem múltiplos NFTs.
Evento XCarnival: A falha lógica no contrato permitiu que atacantes utilizassem repetidamente registros de colateral inválidos para empréstimos, resultando em uma perda de cerca de 3,8 milhões de dólares.
Perguntas comuns na auditoria de contratos NFT
Uso e reutilização de assinatura
Falta validação de execução repetida, como o nonce do usuário
Verificação de assinatura irracional, como não verificar a situação em que o signatário é um endereço zero.
Falha lógica
O administrador pode contornar o limite total de emissão de moedas
Existe um risco de ataque de dependência da ordem de transação durante o processo de leilão.
Ataque de reentrada ERC721/ERC1155
O uso da funcionalidade de notificação de transferência pode levar a ataques de reentrada
O alcance da autorização é excessivo
Exigir autorização global em vez de autorização de um único token, aumentando o risco de roubo de NFTs.
Manipulação de preços
O preço do NFT depende de fatores externos manipuláveis, como a quantidade de tokens detidos.
Esses problemas ocorrem com frequência em ataques reais, destacando a necessidade de auditorias de segurança profissionais. As equipes de projeto devem dar importância à segurança dos contratos e buscar instituições especializadas para realizar auditorias abrangentes, a fim de reduzir os riscos de segurança.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
19 gostos
Recompensa
19
6
Partilhar
Comentar
0/400
SchrodingersFOMO
· 07-17 14:07
A senha da morte não é assim que se perde.
Ver originalResponder0
ForumMiningMaster
· 07-14 15:37
Tsk tsk, mais uma lição amarga de um projeto roubado.
Ver originalResponder0
GweiWatcher
· 07-14 15:37
Perdi dinheiro de novo, a perda é um pouco severa.
Ver originalResponder0
ProposalDetective
· 07-14 15:34
6490w é realmente triste
Ver originalResponder0
screenshot_gains
· 07-14 15:28
都说了多少次了 Puxar o tapete了
Ver originalResponder0
DefiPlaybook
· 07-14 15:15
A sobrevivência é impossível, eu que sou um expert em segurança de contratos.
Auditoria de contratos NFT: Análise de 6 grandes vulnerabilidades e eventos de segurança
Análise das questões comuns na auditoria de segurança de contratos NFT
No primeiro semestre de 2022, ocorreram vários incidentes de segurança no campo dos NFTs, resultando em perdas de cerca de 64,9 milhões de dólares. As principais formas de ataque incluem a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Esses eventos destacam a importância da auditoria de segurança de contratos de NFTs.
Revisão de eventos de segurança típicos
Evento TreasureDAO: devido a uma falha lógica causada pela mistura de tokens ERC-1155 e ERC-721, os atacantes conseguiram comprar NFTs ao pagar 0 tokens.
Evento de airdrop do APE Coin: O contrato de airdrop utilizou um estado instantâneo que pode ser manipulado por empréstimos relâmpago para determinar a propriedade do NFT, permitindo que os atacantes pegassem emprestado o NFT e recebessem o airdrop.
Evento Revest Finance: A vulnerabilidade de reentrada ERC-1155 permitiu que atacantes cunhassem repetidamente FNFT, resultando em perdas de aproximadamente 120.000 dólares.
Evento de exploração do projeto NBA: existem problemas de verificação de assinatura no contrato que permitem que atacantes reutilizem ou falsifiquem assinaturas.
Evento Akutar: uma falha na lógica do contrato levou ao bloqueio de ativos no valor de cerca de 34 milhões de dólares, sendo a principal razão a não consideração da possibilidade de os usuários licitarem múltiplos NFTs.
Evento XCarnival: A falha lógica no contrato permitiu que atacantes utilizassem repetidamente registros de colateral inválidos para empréstimos, resultando em uma perda de cerca de 3,8 milhões de dólares.
Perguntas comuns na auditoria de contratos NFT
Uso e reutilização de assinatura
Falha lógica
Ataque de reentrada ERC721/ERC1155
O alcance da autorização é excessivo
Manipulação de preços
Esses problemas ocorrem com frequência em ataques reais, destacando a necessidade de auditorias de segurança profissionais. As equipes de projeto devem dar importância à segurança dos contratos e buscar instituições especializadas para realizar auditorias abrangentes, a fim de reduzir os riscos de segurança.