Seguridad de contratos NFT: Análisis de eventos y discusión de problemas de auditoría en la primera mitad de 2022

En la primera mitad de 2022, los eventos de seguridad en el ámbito de NFT ocurrieron con frecuencia, causando grandes pérdidas. Según el monitoreo de plataformas de datos, en la primera mitad del año se registraron 10 eventos de seguridad importantes relacionados con NFT, con pérdidas acumuladas de aproximadamente 64.9 millones de dólares. Las principales formas de ataque incluyen la explotación de vulnerabilidades de contratos, la filtración de claves privadas y el phishing, entre otros. Es notable que los ataques de phishing en la plataforma Discord ocurrieron casi a diario, lo que llevó a que muchos usuarios individuales sufrieran pérdidas.

Revisión de incidentes de seguridad típicos

Evento TreasureDAO

El 3 de marzo, la plataforma de intercambio TreasureDAO fue atacada y más de 100 NFT fueron robados. La vulnerabilidad se originó en un error lógico en el contrato TreasureMarketplaceBuyer, que calculó el precio sin verificar el tipo de token, lo que permitió comprar NFT con una cantidad muy pequeña de tokens. Este incidente expuso los problemas potenciales que pueden surgir de la mezcla de tokens ERC-1155 y ERC-721.

Evento de airdrop de APE Coin

El 17 de marzo, un hacker utilizó un préstamo relámpago para obtener más de 60,000 APE Coin en un airdrop. El problema radica en que el contrato AirdropGrapesToken solo determina la propiedad de los NFT a través del estado instantáneo, lo que fue manipulado por el atacante utilizando un préstamo relámpago.

Evento de Revest Finance

El 27 de marzo, Revest Finance fue atacado, perdiendo 120,000 dólares. La vulnerabilidad se debió a un ataque de reentrada ERC-1155, donde el contrato no verificó adecuadamente al acuñar nuevos NFT, lo que permitió la ejecución repetida de la operación de acuñación.

evento de aprovechar el sistema de la NBA

El 21 de abril, el proyecto de la NBA sufrió un ataque. El problema radica en que existe una vulnerabilidad en el mecanismo de verificación de firmas, incluyendo la reutilización y falsificación de firmas.

evento Akutar

El 23 de abril, debido a un error lógico en el contrato, 11539 ETH (aproximadamente 34 millones de dólares) quedaron bloqueados en el contrato AkuAuction de Akutar. El problema principal es el diseño inadecuado de la función de reembolso, que no puede manejar situaciones de múltiples ofertas.

evento XCarnival

El 24 de junio, XCarnival fue atacado, perdiendo 3087 ETH (aproximadamente 3.8 millones de dólares). La vulnerabilidad radica en que el contrato XNFT no verificó estrictamente la validez de los NFT en staking, permitiendo el uso repetido de registros de staking inválidos para préstamos.

Problemas comunes de auditoría de contratos NFT

1. Seguridad de la firma:

   • Falta la verificación de ejecución repetida, como el nonce del usuario
   • La verificación de la firma no es estricta, como si no se verifica si el firmante es una dirección cero.

2. Vulnerabilidad lógica:

   • Los métodos de acuñación especiales pueden eludir el límite total.
   • Existe el riesgo de ataque de dependencia del orden de las transacciones durante el proceso de subasta.

3. Ataque de reentrada ERC721/ERC1155:

   • La función de notificación de transferencias podría ser utilizada para realizar un ataque de reentrada

4. Alcance de autorización demasiado amplio:

   • Se requiere autorización global en lugar de autorización de un solo token, lo que aumenta el riesgo de robo de NFT.

5. Manipulación de precios:

   • El precio del NFT depende del estado de los contratos externos y puede ser manipulado por préstamos relámpago.

Estas cuestiones aparecen con frecuencia en ataques reales, lo que resalta la importancia de las auditorías de seguridad profesionales. Los desarrolladores del proyecto deben dar prioridad a la seguridad de los contratos y buscar servicios de auditoría profesional para reducir los riesgos de seguridad.