Seguridad de contratos NFT: revisión de eventos de la primera mitad de 2022 y puntos clave de auditoría

En la primera mitad de 2022, ocurrieron frecuentes incidentes de seguridad en el ámbito de los NFT, causando enormes pérdidas económicas. Según un informe de una plataforma de seguridad blockchain, se produjeron un total de 10 incidentes principales de seguridad de NFT en la primera mitad del año, con una pérdida total de aproximadamente 64.9 millones de dólares. Los métodos de ataque incluyen principalmente la explotación de vulnerabilidades en los contratos, filtración de claves privadas y phishing, entre otros. Es notable que los incidentes de phishing en Discord ocurren casi a diario, y muchos usuarios sufren pérdidas al hacer clic en enlaces de phishing.

Análisis de incidentes de seguridad típicos

Evento TreasureDAO

El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada por un hacker, lo que resultó en el robo de más de 100 NFT. La vulnerabilidad se encontraba en la función buyItem del contrato TreasureMarketplaceBuyer, donde la falta de una verificación del tipo de token permitía la compra de tokens con un monto de pago de 0 en tokens ERC-20. Este problema se originó por la confusión lógica causada por la mezcla de tokens ERC-1155 y ERC-721.

evento de airdrop de APE Coin

El 17 de marzo de 2022, un hacker obtuvo más de 60,000 APE Coin a través de un préstamo relámpago. La vulnerabilidad se encontraba en el contrato de airdrop de AirdropGrapesToken, el cual solo verificaba el estado de propiedad instantánea del usuario sobre el NFT, sin considerar el impacto que podría tener un préstamo relámpago.

Evento de Revest Finance

El 27 de marzo de 2022, Revest Finance fue atacado, con pérdidas de aproximadamente 120,000 dólares. La vulnerabilidad involucró un ataque de reentrada ERC-1155, que ocurrió en la función depositAdditionalToFNFT() del contrato Revest.

evento de aprovechamiento de la NBA

El 21 de abril de 2022, el equipo del proyecto NBA sufrió un ataque. El contrato The_Association_Sales presentaba problemas de suplantación y reutilización de firmas durante la verificación de la lista blanca, sin almacenar las firmas ya utilizadas ni verificar el msg.sender.

Evento Akutar

El 23 de abril de 2022, el contrato AkuAuction del proyecto Akutar fue bloqueado debido a una vulnerabilidad lógica, lo que resultó en 11539 ETH (aproximadamente 34 millones de dólares). Los principales problemas incluyen un diseño inapropiado de la función de reembolso y la falta de consideración de las múltiples ofertas de los usuarios.

evento XCarnival

El 24 de junio de 2022, el protocolo de préstamo NFT XCarnival fue atacado, con una pérdida de aproximadamente 3.8 millones de dólares. La función pledgeAndBorrow del contrato XNFT tenía una vulnerabilidad lógica, sin realizar una verificación efectiva de la dirección xToken y el estado del registro de colateral.

Preguntas frecuentes sobre auditoría de contratos NFT

1. Suplantación y reutilización de firmas:

   • Falta la verificación de ejecución repetida
   • Verificación de firma no razonable

2. Vulnerabilidad lógica:

   • Control inadecuado de la cantidad total de monedas
   • El orden de las transacciones durante el proceso de subasta depende de un ataque

3. Ataque de reingreso ERC721/ERC1155:

   • La función de notificación de transferencia puede causar reentrada

4. El alcance de la autorización es demasiado amplio:

   • Riesgo de autorización global innecesaria

5. Manipulación de precios:

   • El precio de NFT depende de factores que son fácilmente manipulables

Dado que los eventos de seguridad de contratos NFT son frecuentes, los equipos de proyecto deben prestar atención al trabajo de auditoría de contratos para prevenir riesgos potenciales y proteger la seguridad de los activos de los usuarios.