Seguridad de contratos NFT: Revisión de eventos de la primera mitad de 2022 y análisis de preguntas frecuentes

En la primera mitad de 2022, los incidentes de seguridad en el ámbito de NFT ocurrieron con frecuencia, causando enormes pérdidas económicas. Según la plataforma de datos, se registraron un total de 10 incidentes de seguridad importantes, con pérdidas de aproximadamente 6490 millones de dólares. Las principales formas de ataque incluyeron la explotación de vulnerabilidades en contratos, filtración de claves privadas y ataques de phishing. Los ataques de phishing en la plataforma Discord fueron especialmente rampantes, con servidores atacados casi todos los días, lo que llevó a pérdidas frecuentes para los usuarios.

Revisión de eventos de seguridad típicos

Evento TreasureDAO

El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada, lo que resultó en el robo de más de 100 NFT. La vulnerabilidad se originó en un error lógico en el contrato TreasureMarketplaceBuyer, que no diferenciaba entre los tokens ERC-1155 y ERC-721, lo que permitió a los atacantes comprar NFT sin costo alguno.

evento de airdrop de APE Coin

El 17 de marzo de 2022, los atacantes utilizaron un préstamo relámpago para obtener más de 60,000 APE Coin a través de un airdrop. El problema radica en el contrato de AirdropGrapesToken, que solo verifica la propiedad instantánea del NFT por parte del usuario, sin considerar el impacto que podría tener un préstamo relámpago.

Evento de Revest Finance

El 27 de marzo de 2022, Revest Finance fue atacado, con una pérdida de aproximadamente 120,000 dólares. La vulnerabilidad existía en el contrato de Revest, y debido a una llamada externa oculta en el estándar ERC-1155, se permitió la posibilidad de un ataque por reentrada.

evento de aprovecharse de la NBA

El 21 de abril de 2022, el proyecto de la NBA sufrió un ataque. El contrato de The_Association_Sales presentaba problemas de suplantación y reutilización de firmas durante la verificación de la lista blanca, no se registraron las firmas ya utilizadas ni se realizó la verificación de msg.sender.

evento Akutar

El 23 de abril de 2022, el contrato AkuAuction del proyecto Akutar fue bloqueado debido a una vulnerabilidad lógica, lo que resultó en 11539 ETH (aproximadamente 34 millones de dólares) que quedaron bloqueados. La condición en la función de reembolso no consideró la posibilidad de que los usuarios pujaran por múltiples NFT, lo que impidió que la operación de reembolso se ejecutara.

Evento XCarnival

El 24 de junio de 2022, XCarnival fue atacado, con pérdidas de aproximadamente 3.8 millones de dólares. La función pledgeAndBorrow en el contrato XNFT no verificó adecuadamente la dirección xToken del NFT en garantía y el estado del registro de garantía, lo que permitió al atacante reutilizar registros de garantía no válidos para realizar préstamos.

Preguntas frecuentes sobre la auditoría de contratos NFT

1. Suplantación y reutilización de firmas:

   • Falta la verificación de reutilización de firma
   • La lógica de verificación de firmas no es completa

2. Fallo lógico:

   • Control inadecuado de la cantidad total de monedas
   • El orden de las transacciones durante el proceso de subasta depende de un ataque

3. Ataque de reentrada ERC721/ERC1155:

   • La función de notificación de transferencia puede causar reentrada

4. Alcance de la autorización demasiado amplio:

   • Requiere autorización global en lugar de autorización de token individual

5. Manipulación de precios:

   • El precio del NFT depende de factores externos y es susceptible a influencias como los préstamos relámpago.

Estos problemas aparecen con frecuencia en ataques reales, lo que resalta la importancia de realizar auditorías de seguridad profesionales en los contratos de NFT. Los desarrolladores del proyecto deben dar prioridad a la seguridad del contrato y reducir los riesgos de seguridad a través de auditorías profesionales.