Segurança de contratos NFT: Revisão de eventos do primeiro semestre de 2022 e análise de perguntas frequentes

No primeiro semestre de 2022, ocorreram muitos incidentes de segurança no campo dos NFT, causando enormes perdas econômicas. De acordo com a monitorização da plataforma de dados, ocorreram 10 principais incidentes de segurança, com perdas de cerca de 6,49 milhões de dólares. Os métodos de ataque incluíram principalmente a exploração de vulnerabilidades de contratos, o vazamento de chaves privadas e phishing. Os ataques de phishing na plataforma Discord eram especialmente comuns, com servidores sendo atacados quase todos os dias, resultando em perdas frequentes para os usuários.

Revisão de incidentes de segurança típicos

evento TreasureDAO

No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi atacada, resultando no roubo de mais de 100 NFTs. A vulnerabilidade originou-se de um erro lógico no contrato TreasureMarketplaceBuyer, que não fez a distinção entre tokens ERC-1155 e ERC-721, permitindo que os atacantes comprassem NFTs sem custo.

Evento de airdrop da APE Coin

No dia 17 de março de 2022, atacantes utilizaram um empréstimo relâmpago para obter mais de 60 mil APE Coin a partir de um airdrop. O problema estava no contrato AirdropGrapesToken, que apenas verificava a propriedade instantânea do NFT por parte do usuário, sem considerar os impactos que um empréstimo relâmpago poderia ter.

Evento Revest Finance

No dia 27 de março de 2022, a Revest Finance foi atacada, resultando em uma perda de cerca de 120 mil dólares. A vulnerabilidade existia no contrato da Revest, devido a chamadas externas ocultas no padrão ERC-1155, o que possibilitou o ataque de reentrada.

NBA evento de exploração

Em 21 de abril de 2022, o projeto NBA sofreu um ataque. O contrato The_Association_Sales teve problemas de falsificação e reutilização de assinatura durante a verificação da lista branca, não registrou assinaturas já utilizadas e também não realizou a verificação de msg.sender.

Evento Akutar

No dia 23 de abril de 2022, o contrato AkuAuction do projeto Akutar foi bloqueado devido a uma falha lógica, resultando em 11539ETH (cerca de 34 milhões de dólares) sendo presos. A verificação de condições na função de reembolso não considerou a possibilidade de os usuários licitarem em vários NFTs, o que impossibilitou a execução da operação de reembolso.

Evento XCarnival

No dia 24 de junho de 2022, o XCarnival foi atacado, resultando em perdas de cerca de 3,8 milhões de dólares. A função pledgeAndBorrow do contrato XNFT não realizou uma verificação eficaz do endereço do xToken do NFT em garantia e do estado do registro de garantia, permitindo que os atacantes reutilizassem registros de garantia inválidos para empréstimos.

Perguntas Frequentes sobre Auditoria de Contratos NFT

1. Uso e reutilização de assinaturas:

   • Falta de verificação de reutilização de assinaturas
   • Lógica de verificação de assinatura não está completa

2. Falha lógica:

   • Controle inadequado do suprimento total de moedas
   • A ordem das transações durante o processo de leilão depende de ataques

3. Ataque de reentrada ERC721/ERC1155:

   • A funcionalidade de notificação de transferência pode causar reentrada

4. O alcance da autorização é demasiado amplo:

   • Exigir autorização global em vez de autorização de token único

5. Manipulação de preços:

   • O preço do NFT depende de fatores externos e é facilmente afetado por métodos como empréstimos relâmpago.

Essas questões surgem frequentemente em ataques reais, destacando a importância de uma auditoria de segurança profissional para contratos NFT. As equipes de projeto devem dar atenção à segurança dos contratos, utilizando auditorias profissionais para reduzir os riscos de segurança.