Análisis de vulnerabilidades de seguridad de contratos NFT y casos típicos
En la primera mitad de 2022, los incidentes de seguridad en el ámbito de los NFT se produjeron con frecuencia, causando importantes pérdidas económicas. Según estadísticas, hubo un total de 10 incidentes de seguridad principales, con una pérdida total de aproximadamente 64.9 millones de dólares. Los métodos de ataque incluían principalmente la explotación de vulnerabilidades en contratos, la filtración de claves privadas y el phishing, entre otros. Cabe destacar que los ataques de phishing en la plataforma Discord ocurren casi a diario, causando pérdidas significativas a los usuarios individuales.
Análisis de incidentes de seguridad típicos
Evento TreasureDAO
El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada, lo que resultó en el robo de más de 100 NFT. La causa raíz del incidente fue la confusión lógica provocada por el uso combinado de tokens ERC-1155 y ERC-721. El contrato, al manejar el precio de compra de los tokens, no distinguió las características de estos dos tipos de tokens y trató erróneamente a los tokens ERC-721 como si tuvieran un concepto de cantidad.
evento de airdrop de APE Coin
El 17 de marzo de 2022, los hackers obtuvieron más de 60,000 APE Coin a través de un préstamo relámpago. La vulnerabilidad existía en el contrato de airdrop, que solo verificaba el saldo actual de NFT del usuario para determinar la elegibilidad para el airdrop, y este método es susceptible a la manipulación mediante préstamos relámpago.
Evento de Revest Finance
El 27 de marzo de 2022, Revest Finance fue atacado, perdiendo aproximadamente 120,000 dólares. Este es un ataque típico de reentrada ERC-1155. Durante el proceso de acuñación de FNFT, el contrato no logró manejar correctamente la auto-incrementación del ID del token y la verificación de existencia, lo que llevó a una vulnerabilidad de reentrada.
evento de aprovecharse de la NBA
El 21 de abril de 2022, el proyecto de la NBA sufrió un ataque. El problema radicaba en el mecanismo de firma de verificación de la lista blanca, que presentaba dos problemas principales: el uso indebido y la reutilización de firmas. El contrato no almacenaba las firmas ya utilizadas y, al verificar, no se comprobaba el remitente del mensaje, lo que permitía a los atacantes reutilizar o suplantar la firma.
evento Akutar
El 23 de abril de 2022, el proyecto Akutar sufrió un bloqueo de activos de aproximadamente 34 millones de dólares debido a una vulnerabilidad en el contrato inteligente. El problema principal radica en un diseño inadecuado de la lógica de la función de reembolso, que no puede manejar situaciones de múltiples ofertas y es susceptible a interrupciones maliciosas.
evento XCarnival
El 24 de junio de 2022, XCarnival fue atacado, perdiendo aproximadamente 3.8 millones de dólares. La vulnerabilidad radica en que el contrato no realizó un estricto chequeo de las direcciones de NFT en garantía y el estado de los registros de garantía, lo que permitió a los atacantes utilizar repetidamente registros de garantía inválidos para obtener préstamos.
Problemas de seguridad comunes en contratos NFT
Suplantación y reutilización de firmas: falta de verificación de reutilización de firmas, lógica de verificación de firmas no rigurosa.
Vulnerabilidades lógicas: un método especial de acuñación elude el límite de cantidad total, y el orden de las transacciones durante el proceso de subasta depende de un ataque.
Ataques de reentrada ERC721/ERC1155: puede generar riesgos de reentrada en la función de notificación de transferencia.
Autorización excesiva: Solicitar a los usuarios autorizaciones generales innecesarias, aumentando el riesgo de robo de NFT.
Manipulación de precios: El precio de los NFT depende de indicadores que pueden ser fácilmente manipulados, lo que puede llevar a liquidaciones anómalas.
Dada la complejidad y los riesgos potenciales de los contratos NFT, las partes del proyecto deben prestar atención a la auditoría de seguridad de los contratos inteligentes, contratando a un equipo de seguridad profesional para realizar una revisión exhaustiva, con el fin de prevenir posibles ataques y pérdidas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
8 me gusta
Recompensa
8
8
Compartir
Comentar
0/400
ser_ngmi
· 07-18 10:08
Otra vez cupones de clip en discord = =
Ver originalesResponder0
DefiPlaybook
· 07-16 19:28
Los datos son deslumbrantes, pérdida de 6490w dólares en medio año.
Ver originalesResponder0
MemeTokenGenius
· 07-15 14:56
En esta época, ganar dinero limpio es realmente difícil.
Ver originalesResponder0
OptionWhisperer
· 07-15 14:50
Se perdió casi cien millones solo porque el código estaba mal escrito.
Ver originalesResponder0
GasFeeCryer
· 07-15 14:50
Otro contrato inteligente fue robado por varios cientos de millones. Tsk tsk.
Ver originalesResponder0
GasFeeCry
· 07-15 14:47
Otra ola de tontos ha llegado.
Ver originalesResponder0
VibesOverCharts
· 07-15 14:45
Ladrón roba dinero, los jugadores sufren~
Ver originalesResponder0
DaoDeveloper
· 07-15 14:35
acabo de auditar la explotación de treasuredao... smh estas vulnerabilidades de mezcla de erc se están saliendo de control fr
Los contratos NFT presentan vulnerabilidades de seguridad con frecuencia, con pérdidas cercanas a 65 millones de dólares en la primera mitad de 2022.
Análisis de vulnerabilidades de seguridad de contratos NFT y casos típicos
En la primera mitad de 2022, los incidentes de seguridad en el ámbito de los NFT se produjeron con frecuencia, causando importantes pérdidas económicas. Según estadísticas, hubo un total de 10 incidentes de seguridad principales, con una pérdida total de aproximadamente 64.9 millones de dólares. Los métodos de ataque incluían principalmente la explotación de vulnerabilidades en contratos, la filtración de claves privadas y el phishing, entre otros. Cabe destacar que los ataques de phishing en la plataforma Discord ocurren casi a diario, causando pérdidas significativas a los usuarios individuales.
Análisis de incidentes de seguridad típicos
Evento TreasureDAO
El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada, lo que resultó en el robo de más de 100 NFT. La causa raíz del incidente fue la confusión lógica provocada por el uso combinado de tokens ERC-1155 y ERC-721. El contrato, al manejar el precio de compra de los tokens, no distinguió las características de estos dos tipos de tokens y trató erróneamente a los tokens ERC-721 como si tuvieran un concepto de cantidad.
evento de airdrop de APE Coin
El 17 de marzo de 2022, los hackers obtuvieron más de 60,000 APE Coin a través de un préstamo relámpago. La vulnerabilidad existía en el contrato de airdrop, que solo verificaba el saldo actual de NFT del usuario para determinar la elegibilidad para el airdrop, y este método es susceptible a la manipulación mediante préstamos relámpago.
Evento de Revest Finance
El 27 de marzo de 2022, Revest Finance fue atacado, perdiendo aproximadamente 120,000 dólares. Este es un ataque típico de reentrada ERC-1155. Durante el proceso de acuñación de FNFT, el contrato no logró manejar correctamente la auto-incrementación del ID del token y la verificación de existencia, lo que llevó a una vulnerabilidad de reentrada.
evento de aprovecharse de la NBA
El 21 de abril de 2022, el proyecto de la NBA sufrió un ataque. El problema radicaba en el mecanismo de firma de verificación de la lista blanca, que presentaba dos problemas principales: el uso indebido y la reutilización de firmas. El contrato no almacenaba las firmas ya utilizadas y, al verificar, no se comprobaba el remitente del mensaje, lo que permitía a los atacantes reutilizar o suplantar la firma.
evento Akutar
El 23 de abril de 2022, el proyecto Akutar sufrió un bloqueo de activos de aproximadamente 34 millones de dólares debido a una vulnerabilidad en el contrato inteligente. El problema principal radica en un diseño inadecuado de la lógica de la función de reembolso, que no puede manejar situaciones de múltiples ofertas y es susceptible a interrupciones maliciosas.
evento XCarnival
El 24 de junio de 2022, XCarnival fue atacado, perdiendo aproximadamente 3.8 millones de dólares. La vulnerabilidad radica en que el contrato no realizó un estricto chequeo de las direcciones de NFT en garantía y el estado de los registros de garantía, lo que permitió a los atacantes utilizar repetidamente registros de garantía inválidos para obtener préstamos.
Problemas de seguridad comunes en contratos NFT
Suplantación y reutilización de firmas: falta de verificación de reutilización de firmas, lógica de verificación de firmas no rigurosa.
Vulnerabilidades lógicas: un método especial de acuñación elude el límite de cantidad total, y el orden de las transacciones durante el proceso de subasta depende de un ataque.
Ataques de reentrada ERC721/ERC1155: puede generar riesgos de reentrada en la función de notificación de transferencia.
Autorización excesiva: Solicitar a los usuarios autorizaciones generales innecesarias, aumentando el riesgo de robo de NFT.
Manipulación de precios: El precio de los NFT depende de indicadores que pueden ser fácilmente manipulados, lo que puede llevar a liquidaciones anómalas.
Dada la complejidad y los riesgos potenciales de los contratos NFT, las partes del proyecto deben prestar atención a la auditoría de seguridad de los contratos inteligentes, contratando a un equipo de seguridad profesional para realizar una revisión exhaustiva, con el fin de prevenir posibles ataques y pérdidas.