Auditoria de contratos NFT: Análise de 6 grandes vulnerabilidades e eventos de segurança

robot
Geração de resumo em curso

Análise das questões comuns na auditoria de segurança de contratos NFT

No primeiro semestre de 2022, ocorreram vários incidentes de segurança no campo dos NFTs, resultando em perdas de cerca de 64,9 milhões de dólares. As principais formas de ataque incluem a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Esses eventos destacam a importância da auditoria de segurança de contratos de NFTs.

Análise de eventos de segurança NFT no primeiro semestre: quais casos típicos devemos estar atentos?

Revisão de eventos de segurança típicos

  1. Evento TreasureDAO: devido a uma falha lógica causada pela mistura de tokens ERC-1155 e ERC-721, os atacantes conseguiram comprar NFTs ao pagar 0 tokens.

  2. Evento de airdrop do APE Coin: O contrato de airdrop utilizou um estado instantâneo que pode ser manipulado por empréstimos relâmpago para determinar a propriedade do NFT, permitindo que os atacantes pegassem emprestado o NFT e recebessem o airdrop.

  3. Evento Revest Finance: A vulnerabilidade de reentrada ERC-1155 permitiu que atacantes cunhassem repetidamente FNFT, resultando em perdas de aproximadamente 120.000 dólares.

  4. Evento de exploração do projeto NBA: existem problemas de verificação de assinatura no contrato que permitem que atacantes reutilizem ou falsifiquem assinaturas.

  5. Evento Akutar: uma falha na lógica do contrato levou ao bloqueio de ativos no valor de cerca de 34 milhões de dólares, sendo a principal razão a não consideração da possibilidade de os usuários licitarem múltiplos NFTs.

  6. Evento XCarnival: A falha lógica no contrato permitiu que atacantes utilizassem repetidamente registros de colateral inválidos para empréstimos, resultando em uma perda de cerca de 3,8 milhões de dólares.

Análise de eventos de segurança de NFT no primeiro semestre: quais casos típicos devemos ter em mente?

Perguntas comuns na auditoria de contratos NFT

  1. Uso e reutilização de assinatura

    • Falta validação de execução repetida, como o nonce do usuário
    • Verificação de assinatura irracional, como não verificar a situação em que o signatário é um endereço zero.
  2. Falha lógica

    • O administrador pode contornar o limite total de emissão de moedas
    • Existe um risco de ataque de dependência da ordem de transação durante o processo de leilão.
  3. Ataque de reentrada ERC721/ERC1155

    • O uso da funcionalidade de notificação de transferência pode levar a ataques de reentrada
  4. O alcance da autorização é excessivo

    • Exigir autorização global em vez de autorização de um único token, aumentando o risco de roubo de NFTs.
  5. Manipulação de preços

    • O preço do NFT depende de fatores externos manipuláveis, como a quantidade de tokens detidos.

Esses problemas ocorrem com frequência em ataques reais, destacando a necessidade de auditorias de segurança profissionais. As equipes de projeto devem dar importância à segurança dos contratos e buscar instituições especializadas para realizar auditorias abrangentes, a fim de reduzir os riscos de segurança.

Análise de eventos de segurança de NFT no primeiro semestre: quais casos típicos devemos estar atentos?

APE-0.84%
XCV15.91%
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
  • Recompensa
  • 6
  • Partilhar
Comentar
0/400
SchrodingersFOMOvip
· 07-17 14:07
A senha da morte não é assim que se perde.
Ver originalResponder0
ForumMiningMastervip
· 07-14 15:37
Tsk tsk, mais uma lição amarga de um projeto roubado.
Ver originalResponder0
GweiWatchervip
· 07-14 15:37
Perdi dinheiro de novo, a perda é um pouco severa.
Ver originalResponder0
ProposalDetectivevip
· 07-14 15:34
6490w é realmente triste
Ver originalResponder0
screenshot_gainsvip
· 07-14 15:28
都说了多少次了 Puxar o tapete了
Ver originalResponder0
DefiPlaybookvip
· 07-14 15:15
A sobrevivência é impossível, eu que sou um expert em segurança de contratos.
Ver originalResponder0
  • Pino
Negocie cripto em qualquer lugar e a qualquer hora
qrCode
Digitalizar para transferir a aplicação Gate
Novidades
Português (Portugal)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)