Sécurité des contrats NFT : Revue des événements du premier semestre 2022 et analyse des questions fréquentes

Au premier semestre 2022, le domaine des NFT a connu de fréquents incidents de sécurité, entraînant d'énormes pertes économiques. Selon les données surveillées par la plateforme, 10 incidents de sécurité majeurs ont été signalés, avec des pertes d'environ 64,9 millions de dollars. Les méthodes d'attaque comprennent principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing. Les attaques de phishing sur la plateforme Discord sont particulièrement répandues, presque tous les jours, des serveurs subissent des attaques, entraînant des pertes fréquentes pour les utilisateurs.

Revue des incidents de sécurité typiques

événement TreasureDAO

Le 3 mars 2022, la plateforme d'échange TreasureDAO a été attaquée, entraînant le vol de plus de 100 NFT. La vulnérabilité provenait d'une erreur logique dans le contrat TreasureMarketplaceBuyer, qui ne faisait pas de distinction entre les jetons ERC-1155 et ERC-721, permettant ainsi aux attaquants d'acheter des NFT sans frais.

Événement d'airdrop APE Coin

Le 17 mars 2022, des attaquants ont utilisé des prêts flash pour obtenir plus de 60 000 APE Coin en airdrop. Le problème réside dans le contrat AirdropGrapesToken, qui ne vérifie que la propriété instantanée de l'utilisateur sur les NFT, sans tenir compte des impacts potentiels des prêts flash.

Événement Revest Finance

Le 27 mars 2022, Revest Finance a été attaqué, entraînant une perte d'environ 120 000 dollars. La vulnérabilité se trouvait dans le contrat Revest, et la possibilité d'une attaque par réentrance a été causée par un appel externe caché dans la norme ERC-1155.

événement NBA de profiter des primes

Le 21 avril 2022, le projet NBA a été attaqué. Le contrat The_Association_Sales présentait des problèmes de falsification et de réutilisation de signature lors de la vérification de la liste blanche, sans enregistrement des signatures déjà utilisées et sans vérification de msg.sender.

événement Akutar

Le 23 avril 2022, le contrat AkuAuction du projet Akutar a été bloqué en raison d'une faille logique entraînant la perte de 11539 ETH (environ 34 millions de dollars). La condition de vérification dans la fonction de remboursement n'a pas pris en compte le fait que les utilisateurs peuvent enchérir sur plusieurs NFT, rendant l'opération de remboursement impossible.

événement XCarnival

Le 24 juin 2022, XCarnival a été attaqué, entraînant une perte d'environ 3,8 millions de dollars. La fonction pledgeAndBorrow dans le contrat XNFT n'a pas effectué de vérifications efficaces sur l'adresse xToken des NFT mis en gage et l'état des enregistrements de garantie, permettant ainsi à l'attaquant de réutiliser des enregistrements de garantie invalides pour emprunter.

Questions fréquentes sur l'audit des contrats NFT

1. Usurpation et réutilisation de signature :

   • Vérification de la réutilisation des signatures manquantes
   • La logique de vérification de la signature n'est pas complète.

2. Faille logique :

   • Mauvaise gestion du contrôle de l'offre totale de monnaie
   • L'ordre des transactions pendant le processus de vente aux enchères dépend des attaques

3. Attaque par réentrance ERC721/ERC1155 :

   • La fonctionnalité de notification de transfert peut provoquer une réentrante

4. Portée de l'autorisation trop large :

   • Exiger une autorisation globale plutôt qu'une autorisation de jeton unique

5. Manipulation des prix :

   • Le prix des NFT dépend de facteurs externes et est facilement affecté par des méthodes telles que les prêts flash.

Ces problèmes apparaissent fréquemment lors des attaques réelles, soulignant l'importance d'effectuer des audits de sécurité professionnels sur les contrats NFT. Les équipes de projet doivent accorder une attention particulière à la sécurité des contrats et réduire les risques de sécurité grâce à des audits professionnels.