Segurança de contratos NFT: Análise de eventos e discussão de questões de auditoria no primeiro semestre de 2022

No primeiro semestre de 2022, ocorreram muitos incidentes de segurança na área de NFT, causando grandes perdas. De acordo com o monitoramento de plataformas de dados, houve um total de 10 principais incidentes de segurança NFT no primeiro semestre, resultando em uma perda acumulada de cerca de 6490 milhões de dólares. As principais formas de ataque incluem a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. É importante notar que os ataques de phishing na plataforma Discord ocorrem quase diariamente, resultando em grandes perdas para muitos usuários individuais.

Revisão de eventos de segurança típicos

Evento TreasureDAO

No dia 3 de março, a plataforma de negociação TreasureDAO foi atacada, resultando no roubo de mais de 100 NFTs. A vulnerabilidade surgiu de um erro lógico no contrato TreasureMarketplaceBuyer, que calculou o preço sem verificar o tipo de token, permitindo que NFTs fossem comprados com uma quantidade muito pequena de tokens. Este incidente expôs os problemas que podem surgir da mistura de tokens ERC-1155 e ERC-721.

Evento de airdrop do APE Coin

No dia 17 de março, hackers utilizaram um empréstimo relâmpago para obter mais de 60 mil APE Coin em airdrop. O problema estava no contrato AirdropGrapesToken, que apenas avaliava a propriedade do NFT através do estado imediato, sendo manipulado pelos atacantes com o empréstimo relâmpago.

Evento Revest Finance

No dia 27 de março, a Revest Finance sofreu um ataque, resultando em uma perda de 120.000 dólares. A vulnerabilidade estava na ataque de reentrada ERC-1155, onde o contrato não verificava adequadamente durante a mintagem de novos NFTs, permitindo a execução repetida da operação de mintagem.

NBA aproveitamento de oportunidades

No dia 21 de abril, o projeto da NBA sofreu um ataque. O problema reside na vulnerabilidade do mecanismo de verificação de assinatura, que inclui a reutilização e falsificação de assinaturas.

Evento Akutar

No dia 23 de abril, devido a um erro lógico no contrato, 11539 ETH (cerca de 34 milhões de dólares) ficaram bloqueados no contrato AkuAuction do Akutar. O principal problema foi o design inadequado da função de reembolso, que não consegue lidar com situações de múltimas licitações.

Evento XCarnival

No dia 24 de junho, o XCarnival foi atacado, resultando em uma perda de 3087 ETH (cerca de 3,8 milhões de dólares). A vulnerabilidade estava no contrato XNFT que não verificava rigorosamente a validade dos NFTs garantidos, permitindo o uso repetido de registros de garantia inválidos para empréstimos.

Problemas comuns de auditoria de contratos NFT

1. Segurança da assinatura:

   • Falta de verificação de execução repetida, como o nonce do usuário
   • A verificação de assinatura não é rigorosa, como se não verificar se o signatário é o endereço zero.

2. Falha lógica:

   • Métodos de cunhagem especiais podem contornar o limite total.
   • Existe o risco de ataque de dependência da ordem de negociação durante o processo de leilão.

3. Ataque de reentrada ERC721/ERC1155:

   • A funcionalidade de notificação de transferência pode ser explorada para realizar ataques de reentrada

4. O escopo da autorização é demasiado amplo:

   • Exigir autorização global em vez de autorização de token único, aumentando o risco de roubo de NFT

5. Manipulação de preços:

   • O preço do NFT depende do estado do contrato externo, podendo ser manipulado por empréstimos relâmpago.

Estas questões surgem frequentemente em ataques reais, destacando a importância de auditorias de segurança profissionais. As equipas de projeto devem dar importância à segurança dos contratos e procurar serviços de auditoria profissional para reduzir os riscos de segurança.