NFT合約安全頻現漏洞 2022上半年損失近6500萬美元

NFT合約安全漏洞分析及典型案例

2022年上半年,NFT領域安全事件頻發,造成重大經濟損失。據統計,主要安全事件共10起,總損失約6490萬美元。攻擊方式主要包括合約漏洞利用、私鑰泄露和釣魚等。值得注意的是,Discord平台釣魚攻擊幾乎每天都在發生,給個人用戶造成了不小的損失。

上半年NFT安全事件分析:哪些典型案列值得我們警惕?

典型安全事件分析

TreasureDAO事件

2022年3月3日,TreasureDAO交易平台遭到攻擊,導致100多個NFT被盜。事件的根本原因是ERC-1155和ERC-721代幣混用引發的邏輯混亂。合約在處理代幣購買價格時,沒有區分這兩種代幣的特性,錯誤地將ERC-721代幣視爲有數量概念的代幣。

APE Coin空投事件

2022年3月17日,黑客通過閃電貸獲取了超過6萬枚APE Coin空投。漏洞存在於空投合約中,合約僅通過檢查用戶當前的NFT餘額來判定空投資格,而這種方式容易被閃電貸操縱。

Revest Finance事件

2022年3月27日,Revest Finance遭受攻擊,損失約12萬美元。這是一起典型的ERC-1155重入攻擊。在FNFT鑄造過程中,合約未能正確處理代幣ID的自增和存在性檢查,導致了重入漏洞。

NBA薅羊毛事件

2022年4月21日,NBA項目遭遇攻擊。問題出在白名單驗證的籤名機制上,存在籤名冒用和復用兩個主要問題。合約未存儲已使用的籤名,且在驗證時未檢查消息發送者,使得攻擊者可以重復使用或冒用籤名。

Akutar事件

2022年4月23日,Akutar項目因智能合約漏洞,導致約3400萬美元資產被鎖死。主要問題在於退款函數的邏輯設計不當,無法處理多次投標情況,且容易被惡意中斷。

XCarnival事件

2022年6月24日,XCarnival遭攻擊,損失約380萬美元。漏洞在於合約未對質押的NFT地址和抵押記錄狀態進行嚴格檢查,使得攻擊者可以反復使用無效抵押記錄進行借貸。

上半年NFT安全事件分析:哪些典型案列值得我們警惕?

NFT合約常見安全問題

  1. 籤名冒用和復用:缺乏籤名重復使用檢查,籤名驗證邏輯不嚴謹。

  2. 邏輯漏洞:特殊鑄幣方式繞過總量限制,拍賣過程中的交易順序依賴攻擊。

  3. ERC721/ERC1155重入攻擊:在轉帳通知功能中可能引發重入風險。

  4. 過度授權:要求用戶進行不必要的全面授權,增加NFT被盜風險。

  5. 價格操縱:NFT價格依賴易被操縱的指標,可能導致異常清算。

上半年NFT安全事件分析:哪些典型案列值得我們警惕?

鑑於NFT合約的復雜性和潛在風險,項目方應重視智能合約的安全審計工作,聘請專業安全團隊進行全面檢查,以防範可能的攻擊和損失。

查看原文
此頁面可能包含第三方內容,僅供參考(非陳述或保證),不應被視為 Gate 認可其觀點表述,也不得被視為財務或專業建議。詳見聲明
  • 讚賞
  • 8
  • 分享
留言
0/400
Ser_Ngmivip
· 07-18 10:08
又是discord薅羊毛= =
回復0
DeFi宝典vip
· 07-16 19:28
数据刺眼,半年损失6490w美金
回復0
MemeTokenGeniusvip
· 07-15 14:56
挨 这年代干净钱真不好挣
回復0
OptionWhisperervip
· 07-15 14:50
离大谱 就因为代码写烂了就丢了近一个亿
回復0
GasFeeCryervip
· 07-15 14:50
又一个智能合约被摸走几个亿 啧啧
回復0
GasFeeCryvip
· 07-15 14:47
又来一波割韭菜了呗
回復0
Vibes Over Chartsvip
· 07-15 14:45
小偷捞钱 玩家遭殃~
回復0
DAO开发者vip
· 07-15 14:35
刚刚审计了treasuredao的漏洞... 摇头,这些erc混合漏洞真的失控了。
查看原文回復0
交易,隨時隨地
qrCode
掃碼下載 Gate APP
社群列表
繁體中文
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)