Segurança do contrato NFT: Revisão de eventos do primeiro semestre de 2022 e pontos de auditoria

No primeiro semestre de 2022, ocorreram vários incidentes de segurança no campo dos NFT, causando enormes perdas econômicas. Segundo uma plataforma de segurança blockchain, houve um total de 10 incidentes principais de segurança de NFT, com uma perda total de cerca de 6490 milhões de dólares. As principais formas de ataque incluem a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. Vale ressaltar que os incidentes de phishing no Discord ocorrem quase diariamente, e muitos usuários sofreram perdas ao clicar em links de phishing.

Análise de Eventos de Segurança Típicos

Evento TreasureDAO

No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi alvo de um ataque de hackers, resultando no roubo de mais de 100 NFTs. A vulnerabilidade estava na função buyItem do contrato TreasureMarketplaceBuyer, onde a falta de verificação do tipo de token permitiu a compra de tokens com um montante de pagamento em token ERC-20 igual a 0. Este problema surgiu da confusão lógica provocada pela mistura de tokens ERC-1155 e ERC-721.

Evento de airdrop do APE Coin

No dia 17 de março de 2022, hackers obtiveram mais de 60 mil unidades de APE Coin através de um empréstimo relâmpago. A vulnerabilidade estava no contrato de airdrop do AirdropGrapesToken, que apenas verificava o estado de propriedade instantânea do usuário sobre o NFT, sem considerar os impactos que um empréstimo relâmpago poderia ter.

Evento Revest Finance

No dia 27 de março de 2022, a Revest Finance foi atacada, resultando em uma perda de cerca de 120 mil dólares. A vulnerabilidade envolveu um ataque de reentrada ERC-1155, que ocorreu na função depositAdditionalToFNFT() do contrato da Revest.

NBA薅羊毛事件

No dia 21 de abril de 2022, o projeto da NBA sofreu um ataque. O contrato The_Association_Sales apresentava problemas de falsificação e reutilização de assinatura durante a verificação da lista branca, não armazenando as assinaturas já utilizadas nem realizando a verificação do msg.sender.

Evento Akutar

No dia 23 de abril de 2022, o contrato AkuAuction do projeto Akutar ficou bloqueado devido a uma falha de lógica, resultando em 11539ETH (cerca de 34 milhões de dólares) sendo congelados. Os principais problemas incluem o design inadequado da função de reembolso e a falta de consideração para situações onde os usuários fazem múltlicas ofertas.

Evento XCarnival

No dia 24 de junho de 2022, o protocolo de empréstimo de NFT XCarnival foi atacado, resultando em uma perda de cerca de 3,8 milhões de dólares. A função pledgeAndBorrow do contrato XNFT apresentava uma falha lógica, não realizando uma verificação eficaz do endereço xToken e do estado do registro de colateral.

Perguntas Frequentes sobre Auditoria de Contratos NFT

1. Uso indevido e reutilização de assinaturas:

   • Falta verificação de execução duplicada
   • Verificação de assinatura não razoável

2. Falhas lógicas:

   • Controle inadequado da quantidade total de moeda
   • A ordem das transações durante o processo de leilão depende de ataques

3. Ataque de reentrada ERC721/ERC1155:

   • A funcionalidade de notificação de transferências pode causar reentrada

4. Escopo de autorização excessivo:

   • Risco de autorização global desnecessária

5. Manipulação de preços:

   • O preço do NFT depende de fatores que podem ser facilmente manipulados

Dada a frequência de eventos de segurança em contratos NFT, as equipas de projeto devem dar importância ao trabalho de auditoria de segurança dos contratos, a fim de prevenir riscos potenciais e proteger a segurança dos ativos dos usuários.