Sécurité des contrats NFT : Analyse des événements du premier semestre 2022 et discussion des problèmes d'audit

Au cours du premier semestre 2022, le domaine des NFT a connu de fréquents incidents de sécurité, entraînant d'énormes pertes. Selon la surveillance d'une plateforme de données, 10 incidents de sécurité majeurs liés aux NFT se sont produits au cours du semestre, avec des pertes cumulées d'environ 64,9 millions de dollars. Les méthodes d'attaque comprenaient principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing. Il est à noter que les attaques de phishing sur la plateforme Discord se produisent presque quotidiennement, entraînant des pertes pour de nombreux utilisateurs individuels.

Revue des événements de sécurité typiques

événement TreasureDAO

Le 3 mars, la plateforme d'échange TreasureDAO a été attaquée, plus de 100 NFT ont été volés. La vulnérabilité provient d'une erreur logique dans le contrat TreasureMarketplaceBuyer, qui a calculé le prix sans vérifier le type de jeton, permettant ainsi d'acheter des NFT avec une très petite quantité de jetons. Cet événement a mis en lumière les problèmes potentiels liés à l'utilisation mixte des jetons ERC-1155 et ERC-721.

APE Coin airdrop événement

Le 17 mars, un hacker a utilisé un prêt flash pour obtenir plus de 60 000 APE Coin en airdrop. Le problème réside dans le fait que le contrat AirdropGrapesToken ne jugeait la propriété des NFT que par l'état instantané, ce qui a été exploité par l'attaquant à l'aide d'un prêt flash.

Événement Revest Finance

Le 27 mars, Revest Finance a été attaqué, entraînant une perte de 120 000 dollars. La vulnérabilité réside dans une attaque de réentrance ERC-1155, le contrat n'ayant pas suffisamment vérifié lors de la création de nouveaux NFT, ce qui a permis d'exécuter plusieurs fois l'opération de création.

événement NBA de récupération de fonds

Le 21 avril, le projet NBA a été attaqué. Le problème réside dans une faille du mécanisme de vérification des signatures, y compris la possibilité de réutiliser et de falsifier les signatures.

événement Akutar

Le 23 avril, en raison d'une erreur logique dans le contrat, 11539 ETH (environ 34 millions de dollars) ont été bloqués dans le contrat AkuAuction d'Akutar. Le principal problème réside dans la conception inappropriée de la fonction de remboursement, qui ne peut pas gérer les situations de multiples enchères.

événement XCarnival

Le 24 juin, XCarnival a été attaqué, entraînant une perte de 3087 ETH (environ 3,8 millions de dollars). La vulnérabilité réside dans le fait que le contrat XNFT ne vérifie pas rigoureusement la validité des NFT stakés, permettant ainsi l'utilisation répétée de dossiers de mise en jeu invalides pour le prêt.

Problèmes d'audit courants des contrats NFT

1. Sécurité de la signature :

   • Manque de validation d'exécution répétée, comme le nonce de l'utilisateur
   • La vérification des signatures n'est pas stricte, par exemple, si le signataire n'a pas été vérifié comme étant une adresse nulle.

2. Vulnérabilités logiques :

   • Les méthodes de frappe spéciales peuvent contourner la limite de quantité
   • Il existe un risque d'attaque par dépendance de l'ordre des transactions pendant le processus d'enchères.

3. Attaque de réentrance ERC721/ERC1155 :

   • La fonction de notification de transfert peut être exploitée pour des attaques par réentrées.

4. Champ d'autorisation trop large :

   • Exiger une autorisation globale plutôt qu'une autorisation pour un seul jeton, augmentant le risque de vol de NFT

5. Manipulation des prix :

   • Le prix des NFT dépend de l'état des contrats externes et peut être manipulé par des prêts flash.

Ces problèmes se produisent fréquemment lors d'attaques réelles, soulignant l'importance des audits de sécurité professionnels. Les équipes de projet doivent accorder de l'importance à la sécurité des contrats et rechercher des services d'audit professionnels pour réduire les risques de sécurité.