En la primera mitad de 2022, los eventos de seguridad de NFT fueron frecuentes, y las vulnerabilidades de los contratos se convirtieron en el principal riesgo.
Informe de análisis de seguridad de contratos NFT: problemas comunes y casos típicos
En la primera mitad de 2022, ocurrieron varios incidentes de seguridad importantes en el ámbito de los NFT, con una pérdida total de aproximadamente 64.9 millones de dólares. Estos incidentes fueron causados principalmente por la explotación de vulnerabilidades en los contratos, la filtración de claves privadas y ataques de phishing. Cabe destacar que los ataques de phishing en la plataforma Discord ocurren casi a diario, lo que causa pérdidas frecuentes a los usuarios individuales.
Análisis de incidentes de seguridad típicos
Evento TreasureDAO
El 3 de marzo, la plataforma de intercambio TreasureDAO fue atacada, lo que resultó en el robo de más de 100 NFT. La causa fundamental de este incidente fue la confusión lógica provocada por la mezcla de tokens ERC-1155 y ERC-721. El contrato no diferenciaba entre los tipos de tokens, aplicando erróneamente el concepto de cantidad, que no es aplicable a ERC-721, para el cálculo de precios.
evento de airdrop de APE Coin
El 17 de marzo, un hacker utilizó un préstamo relámpago para obtener más de 60,000 APE Coin en airdrop. La vulnerabilidad existía en el contrato de airdrop, que solo verificaba la propiedad instantánea del usuario sobre el NFT, lo que podía ser manipulado fácilmente a través de un préstamo relámpago.
Evento de Revest Finance
El 27 de marzo, Revest Finance fue atacado, perdiendo aproximadamente 120,000 dólares. Este es un caso típico de ataque de reentrada ERC-1155. El contrato no realizó las verificaciones adecuadas al acuñar nuevos FNFT, lo que provocó la aparición de una vulnerabilidad de reentrada.
evento de aprovechamiento de la NBA
El 21 de abril, el proyecto de la NBA sufrió un ataque. El problema radica en el mecanismo de firma de verificación de la lista blanca, que presenta dos problemas principales: el uso indebido y la reutilización de firmas. El contrato no almacenó las firmas ya utilizadas y no realizó una verificación rigurosa de los firmantes.
Evento Akutar
El 23 de abril, el proyecto Akutar sufrió un bloqueo de activos de 34 millones de dólares debido a una vulnerabilidad en el contrato. Los principales problemas incluyen defectos lógicos en la función de reembolso y la falta de consideración de las situaciones en las que los usuarios hacen múltiples ofertas.
evento XCarnival
El 24 de junio, XCarnival fue atacado, perdiendo aproximadamente 3.8 millones de dólares. Los atacantes aprovecharon una vulnerabilidad lógica en el contrato durante el proceso de staking de NFT y préstamos, reutilizando registros de colateral inválidos para realizar préstamos.
Problemas de seguridad comunes en contratos NFT
Uso y reutilización de firmas: falta de verificación de ejecución repetida y verificación de la validez del firmante.
Vulnerabilidades lógicas: como la acuñación de monedas por parte del administrador eludiendo el límite total, la dependencia del orden de las transacciones durante el proceso de subasta, etc.
Ataques de reentrada ERC721/ERC1155: Pueden ocurrir al usar la función de notificación de transferencia.
Alcance de autorización excesivo: A los usuarios se les solicita una autorización excesiva en ciertas operaciones.
Manipulación de precios: El precio de los NFT depende de factores externos y puede ser manipulado mediante métodos como préstamos relámpago.
Estos problemas aparecen con frecuencia en ataques reales, lo que resalta la importancia de las auditorías de seguridad profesionales. Los equipos de los proyectos deben prestar atención a la seguridad de los contratos y buscar equipos profesionales para realizar auditorías completas, con el fin de prevenir riesgos potenciales.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
6 me gusta
Recompensa
6
4
Compartir
Comentar
0/400
xSm2
· hace20h
APE ¿No es un dam(?) proyectos. de hecho, creo que es así frente a los ojos de todos, pondremos los ojos en blanco en términos de tiempo (investing) SooN.
todavía hay cosas en línea con NFT y APE específicamente.
película* Tiempo
Ver originalesResponder0
MEVHunterWang
· 08-04 15:04
¿Quién puede soportar esta ola de tomar a la gente por tonta? Realmente se ha quemado casi un pequeño objetivo.
En la primera mitad de 2022, los eventos de seguridad de NFT fueron frecuentes, y las vulnerabilidades de los contratos se convirtieron en el principal riesgo.
Informe de análisis de seguridad de contratos NFT: problemas comunes y casos típicos
En la primera mitad de 2022, ocurrieron varios incidentes de seguridad importantes en el ámbito de los NFT, con una pérdida total de aproximadamente 64.9 millones de dólares. Estos incidentes fueron causados principalmente por la explotación de vulnerabilidades en los contratos, la filtración de claves privadas y ataques de phishing. Cabe destacar que los ataques de phishing en la plataforma Discord ocurren casi a diario, lo que causa pérdidas frecuentes a los usuarios individuales.
Análisis de incidentes de seguridad típicos
Evento TreasureDAO
El 3 de marzo, la plataforma de intercambio TreasureDAO fue atacada, lo que resultó en el robo de más de 100 NFT. La causa fundamental de este incidente fue la confusión lógica provocada por la mezcla de tokens ERC-1155 y ERC-721. El contrato no diferenciaba entre los tipos de tokens, aplicando erróneamente el concepto de cantidad, que no es aplicable a ERC-721, para el cálculo de precios.
evento de airdrop de APE Coin
El 17 de marzo, un hacker utilizó un préstamo relámpago para obtener más de 60,000 APE Coin en airdrop. La vulnerabilidad existía en el contrato de airdrop, que solo verificaba la propiedad instantánea del usuario sobre el NFT, lo que podía ser manipulado fácilmente a través de un préstamo relámpago.
Evento de Revest Finance
El 27 de marzo, Revest Finance fue atacado, perdiendo aproximadamente 120,000 dólares. Este es un caso típico de ataque de reentrada ERC-1155. El contrato no realizó las verificaciones adecuadas al acuñar nuevos FNFT, lo que provocó la aparición de una vulnerabilidad de reentrada.
evento de aprovechamiento de la NBA
El 21 de abril, el proyecto de la NBA sufrió un ataque. El problema radica en el mecanismo de firma de verificación de la lista blanca, que presenta dos problemas principales: el uso indebido y la reutilización de firmas. El contrato no almacenó las firmas ya utilizadas y no realizó una verificación rigurosa de los firmantes.
Evento Akutar
El 23 de abril, el proyecto Akutar sufrió un bloqueo de activos de 34 millones de dólares debido a una vulnerabilidad en el contrato. Los principales problemas incluyen defectos lógicos en la función de reembolso y la falta de consideración de las situaciones en las que los usuarios hacen múltiples ofertas.
evento XCarnival
El 24 de junio, XCarnival fue atacado, perdiendo aproximadamente 3.8 millones de dólares. Los atacantes aprovecharon una vulnerabilidad lógica en el contrato durante el proceso de staking de NFT y préstamos, reutilizando registros de colateral inválidos para realizar préstamos.
Problemas de seguridad comunes en contratos NFT
Uso y reutilización de firmas: falta de verificación de ejecución repetida y verificación de la validez del firmante.
Vulnerabilidades lógicas: como la acuñación de monedas por parte del administrador eludiendo el límite total, la dependencia del orden de las transacciones durante el proceso de subasta, etc.
Ataques de reentrada ERC721/ERC1155: Pueden ocurrir al usar la función de notificación de transferencia.
Alcance de autorización excesivo: A los usuarios se les solicita una autorización excesiva en ciertas operaciones.
Manipulación de precios: El precio de los NFT depende de factores externos y puede ser manipulado mediante métodos como préstamos relámpago.
Estos problemas aparecen con frecuencia en ataques reales, lo que resalta la importancia de las auditorías de seguridad profesionales. Los equipos de los proyectos deben prestar atención a la seguridad de los contratos y buscar equipos profesionales para realizar auditorías completas, con el fin de prevenir riesgos potenciales.
¿No es un dam(?) proyectos.
de hecho, creo que es así frente a los ojos de todos, pondremos los ojos en blanco en términos de tiempo (investing) SooN.
todavía hay cosas en línea con NFT y APE específicamente.
película* Tiempo