Au cours du premier semestre 2022, les événements de sécurité liés aux NFT se sont multipliés, les vulnérabilités des contrats étant le principal risque.
Rapport d'analyse de sécurité des contrats NFT : problèmes courants et cas typiques
Au cours du premier semestre 2022, plusieurs événements de sécurité majeurs ont eu lieu dans le domaine des NFT, entraînant des pertes totales d'environ 64,9 millions de dollars. Ces événements ont été principalement causés par l'exploitation de vulnérabilités de contrats, la fuite de clés privées et des attaques de phishing. Il convient de noter que les attaques de phishing sur la plateforme Discord se produisent presque tous les jours, entraînant des pertes fréquentes pour les utilisateurs individuels.
Analyse des incidents de sécurité typiques
événement TreasureDAO
Le 3 mars, la plateforme de trading TreasureDAO a été attaquée, entraînant le vol de plus de 100 NFT. La cause fondamentale de cet événement est la confusion logique résultant de la combinaison des jetons ERC-1155 et ERC-721. Le contrat n'a pas distingué les types de jetons, appliquant de manière incorrecte le concept de quantité, qui n'est pas applicable aux ERC-721, au calcul des prix.
événement d'airdrop APE Coin
Le 17 mars, un hacker a utilisé un prêt flash pour obtenir plus de 60 000 APE Coin dans un airdrop. La faille se trouvait dans le contrat de l'airdrop, qui ne vérifiait que la propriété instantanée de l'utilisateur sur les NFT, ce qui pouvait être facilement manipulé par un prêt flash.
événement Revest Finance
Le 27 mars, Revest Finance a subi une attaque, entraînant une perte d'environ 120 000 dollars. Il s'agit d'un cas typique d'attaque de réentrance ERC-1155. Le contrat n'a pas effectué de vérifications suffisantes lors de la frappe de nouveaux FNFT, ce qui a conduit à la création d'une vulnérabilité de réentrance.
événement NBA de profit
Le 21 avril, le projet NBA a été attaqué. Le problème réside dans le mécanisme de signature de validation de la liste blanche, qui présente deux problèmes majeurs : l'usurpation et la réutilisation des signatures. Le contrat n'a pas stocké les signatures déjà utilisées et n'a pas effectué de vérification stricte des signataires.
événement Akutar
Le 23 avril, le projet Akutar a conduit à un blocage d'actifs de 34 millions de dollars en raison d'une vulnérabilité dans le contrat. Les principaux problèmes incluent un défaut logique dans la fonction de remboursement et le fait que les enchères multiples des utilisateurs n'ont pas été prises en compte.
événement XCarnival
Le 24 juin, XCarnival a été attaqué, subissant une perte d'environ 3,8 millions de dollars. L'attaquant a exploité une faille logique dans le contrat lors du processus de mise en gage de NFT et de prêt, en réutilisant des enregistrements de garantie invalides pour effectuer des prêts.
Problèmes de sécurité courants des contrats NFT
Usurpation et réutilisation de signature : manque de vérification de l'exécution répétée et de contrôle de la validité du signataire.
Failles logiques : comme l'administrateur contournant la limite totale d'émission de monnaie, dépendance des ordres de transaction durant le processus d'enchères, etc.
Attaque par réentrance ERC721/ERC1155 : peut survenir lors de l'utilisation de la fonction de notification de transfert.
Portée d'autorisation excessive : Les utilisateurs sont invités à accorder des autorisations excessives dans certaines opérations.
Manipulation des prix : Les prix des NFT dépendent de facteurs externes et peuvent être manipulés par des moyens tels que les prêts éclair.
Ces problèmes apparaissent fréquemment lors des attaques réelles, soulignant l'importance d'un audit de sécurité professionnel. Les équipes de projet doivent attacher de l'importance à la sécurité des contrats et chercher des équipes professionnelles pour effectuer un audit complet afin de prévenir les risques potentiels.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
6 J'aime
Récompense
6
4
Partager
Commentaire
0/400
xSm2
· Il y a 19h
APE Pas un dam(?) projets. en fait, je crois que c'est devant les yeux de tout le monde, nous allons lever les yeux au ciel en termes de (investissement) sous peu.
il y a encore des choses en préparation avec les nfts et APE spécifiquement.
film* Temps
Voir l'originalRépondre0
MEVHunterWang
· 08-04 15:04
Qui peut supporter cette vague de prendre les gens pour des idiots, c'est vraiment comme avoir brûlé presque un petit objectif.
Au cours du premier semestre 2022, les événements de sécurité liés aux NFT se sont multipliés, les vulnérabilités des contrats étant le principal risque.
Rapport d'analyse de sécurité des contrats NFT : problèmes courants et cas typiques
Au cours du premier semestre 2022, plusieurs événements de sécurité majeurs ont eu lieu dans le domaine des NFT, entraînant des pertes totales d'environ 64,9 millions de dollars. Ces événements ont été principalement causés par l'exploitation de vulnérabilités de contrats, la fuite de clés privées et des attaques de phishing. Il convient de noter que les attaques de phishing sur la plateforme Discord se produisent presque tous les jours, entraînant des pertes fréquentes pour les utilisateurs individuels.
Analyse des incidents de sécurité typiques
événement TreasureDAO
Le 3 mars, la plateforme de trading TreasureDAO a été attaquée, entraînant le vol de plus de 100 NFT. La cause fondamentale de cet événement est la confusion logique résultant de la combinaison des jetons ERC-1155 et ERC-721. Le contrat n'a pas distingué les types de jetons, appliquant de manière incorrecte le concept de quantité, qui n'est pas applicable aux ERC-721, au calcul des prix.
événement d'airdrop APE Coin
Le 17 mars, un hacker a utilisé un prêt flash pour obtenir plus de 60 000 APE Coin dans un airdrop. La faille se trouvait dans le contrat de l'airdrop, qui ne vérifiait que la propriété instantanée de l'utilisateur sur les NFT, ce qui pouvait être facilement manipulé par un prêt flash.
événement Revest Finance
Le 27 mars, Revest Finance a subi une attaque, entraînant une perte d'environ 120 000 dollars. Il s'agit d'un cas typique d'attaque de réentrance ERC-1155. Le contrat n'a pas effectué de vérifications suffisantes lors de la frappe de nouveaux FNFT, ce qui a conduit à la création d'une vulnérabilité de réentrance.
événement NBA de profit
Le 21 avril, le projet NBA a été attaqué. Le problème réside dans le mécanisme de signature de validation de la liste blanche, qui présente deux problèmes majeurs : l'usurpation et la réutilisation des signatures. Le contrat n'a pas stocké les signatures déjà utilisées et n'a pas effectué de vérification stricte des signataires.
événement Akutar
Le 23 avril, le projet Akutar a conduit à un blocage d'actifs de 34 millions de dollars en raison d'une vulnérabilité dans le contrat. Les principaux problèmes incluent un défaut logique dans la fonction de remboursement et le fait que les enchères multiples des utilisateurs n'ont pas été prises en compte.
événement XCarnival
Le 24 juin, XCarnival a été attaqué, subissant une perte d'environ 3,8 millions de dollars. L'attaquant a exploité une faille logique dans le contrat lors du processus de mise en gage de NFT et de prêt, en réutilisant des enregistrements de garantie invalides pour effectuer des prêts.
Problèmes de sécurité courants des contrats NFT
Usurpation et réutilisation de signature : manque de vérification de l'exécution répétée et de contrôle de la validité du signataire.
Failles logiques : comme l'administrateur contournant la limite totale d'émission de monnaie, dépendance des ordres de transaction durant le processus d'enchères, etc.
Attaque par réentrance ERC721/ERC1155 : peut survenir lors de l'utilisation de la fonction de notification de transfert.
Portée d'autorisation excessive : Les utilisateurs sont invités à accorder des autorisations excessives dans certaines opérations.
Manipulation des prix : Les prix des NFT dépendent de facteurs externes et peuvent être manipulés par des moyens tels que les prêts éclair.
Ces problèmes apparaissent fréquemment lors des attaques réelles, soulignant l'importance d'un audit de sécurité professionnel. Les équipes de projet doivent attacher de l'importance à la sécurité des contrats et chercher des équipes professionnelles pour effectuer un audit complet afin de prévenir les risques potentiels.
Pas un dam(?) projets.
en fait, je crois que c'est devant les yeux de tout le monde, nous allons lever les yeux au ciel en termes de (investissement) sous peu.
il y a encore des choses en préparation avec les nfts et APE spécifiquement.
film* Temps