Sécurité des contrats NFT : Revue des événements du premier semestre 2022 et analyse des questions fréquentes
Au cours du premier semestre 2022, le domaine des NFT a connu de fréquents incidents de sécurité, entraînant d'énormes pertes économiques. Selon les statistiques d'une plateforme de données, 10 incidents majeurs de sécurité liés aux NFT se sont produits pendant cette période, entraînant des pertes d'environ 64,9 millions de dollars. Les méthodes d'attaque comprenaient principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing, entre autres. Parmi eux, les attaques de phishing sur la plateforme Discord étaient particulièrement répandues, avec des serveurs attaqués presque tous les jours, entraînant des pertes fréquentes pour les utilisateurs.
Revue des incidents de sécurité typiques
événement TreasureDAO
Le 3 mars 2022, la plateforme de trading TreasureDAO a été piratée, plus de 100 NFT ont été volés. La raison en est un bug logique dans le contrat, qui ne distinguait pas entre les tokens ERC-1155 et ERC-721, permettant aux attaquants d'acheter des NFT à coût nul.
Événement de distribution de jetons APE Coin
Le 17 mars 2022, des hackers ont utilisé un prêt éclair pour obtenir plus de 60 000 APE Coin en airdrop. La vulnérabilité résidait dans le fait que le contrat d'airdrop ne vérifiait que l'état actuel de détention des NFT par l'utilisateur, sans tenir compte des changements d'état instantanés pouvant résulter des prêts éclair.
Événement Revest Finance
Le 27 mars 2022, Revest Finance a subi une attaque, entraînant une perte de 120 000 $. La raison en est une vulnérabilité de réentrance dans le token ERC-1155, le contrat n'ayant pas effectué de vérifications suffisantes lors de la création de nouveaux NFT.
événement du projet NBA
Le 21 avril 2022, des projets NFT liés à la NBA ont été attaqués. Le problème réside dans le mécanisme de vérification des signatures, qui présente des risques de contrefaçon et de réutilisation des signatures.
Événement Akutar
Le 23 avril 2022, le projet Akutar a rencontré un problème de logique contractuelle, entraînant le blocage de 11,5k ETH( d'une valeur d'environ 34 millions de dollars). La principale raison est une conception inappropriée de la fonction de remboursement, qui n'a pas pris en compte les cas de soumissions multiples par les utilisateurs.
événement XCarnival
Le 24 juin 2022, le protocole de prêt NFT XCarnival a été attaqué, avec une perte de 3087 ETH(, soit environ 3,8 millions de dollars). La vulnérabilité résidait dans des défauts dans la logique de mise en jeu et de prêt, n'effectuant pas une vérification adéquate des garanties et de l'état du prêt.
Problèmes de sécurité courants des contrats NFT
Défaillance du mécanisme de signature : y compris les problèmes de réutilisation de signature et d'usurpation.
Vulnérabilités logiques : comme un contrôle inadéquat de la quantité de pièces, des failles d'enchères, etc.
Attaque de réentrance ERC721/ERC1155 : peut provoquer une réentrance dans les notifications de transfert.
Plage d'autorisation trop large : des autorisations globales inutiles augmentent le risque de vol d'actifs.
Manipulation des prix : la dépendance à des sources de données externes peut entraîner des liquidations anormales.
Ces problèmes sont courants lors des attaques réelles, soulignant l'importance d'un audit de sécurité complet pour les projets NFT. Les développeurs doivent accorder de l'importance à la sécurité des contrats et inviter des organismes professionnels à effectuer des audits afin de prévenir les risques potentiels.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
10 J'aime
Récompense
10
5
Partager
Commentaire
0/400
GateUser-ccc36bc5
· Il y a 11h
Il s'avère que les hackers ont tous compris le piège.
Voir l'originalRépondre0
LiquidityWizard
· Il y a 11h
Oh là là, le contrat ne fait même pas la distinction entre 721 et 1155.
Voir l'originalRépondre0
AirdropChaser
· Il y a 11h
Discord j'ai peur
Voir l'originalRépondre0
MevHunter
· Il y a 11h
Le contrat a encore explosé, qu'est-ce qu'on joue encore ?
Alerte sur la sécurité des contrats NFT : analyse des pertes de 64,90 millions de dollars au premier semestre 2022 et des vulnérabilités courantes.
Sécurité des contrats NFT : Revue des événements du premier semestre 2022 et analyse des questions fréquentes
Au cours du premier semestre 2022, le domaine des NFT a connu de fréquents incidents de sécurité, entraînant d'énormes pertes économiques. Selon les statistiques d'une plateforme de données, 10 incidents majeurs de sécurité liés aux NFT se sont produits pendant cette période, entraînant des pertes d'environ 64,9 millions de dollars. Les méthodes d'attaque comprenaient principalement l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing, entre autres. Parmi eux, les attaques de phishing sur la plateforme Discord étaient particulièrement répandues, avec des serveurs attaqués presque tous les jours, entraînant des pertes fréquentes pour les utilisateurs.
Revue des incidents de sécurité typiques
événement TreasureDAO
Le 3 mars 2022, la plateforme de trading TreasureDAO a été piratée, plus de 100 NFT ont été volés. La raison en est un bug logique dans le contrat, qui ne distinguait pas entre les tokens ERC-1155 et ERC-721, permettant aux attaquants d'acheter des NFT à coût nul.
Événement de distribution de jetons APE Coin
Le 17 mars 2022, des hackers ont utilisé un prêt éclair pour obtenir plus de 60 000 APE Coin en airdrop. La vulnérabilité résidait dans le fait que le contrat d'airdrop ne vérifiait que l'état actuel de détention des NFT par l'utilisateur, sans tenir compte des changements d'état instantanés pouvant résulter des prêts éclair.
Événement Revest Finance
Le 27 mars 2022, Revest Finance a subi une attaque, entraînant une perte de 120 000 $. La raison en est une vulnérabilité de réentrance dans le token ERC-1155, le contrat n'ayant pas effectué de vérifications suffisantes lors de la création de nouveaux NFT.
événement du projet NBA
Le 21 avril 2022, des projets NFT liés à la NBA ont été attaqués. Le problème réside dans le mécanisme de vérification des signatures, qui présente des risques de contrefaçon et de réutilisation des signatures.
Événement Akutar
Le 23 avril 2022, le projet Akutar a rencontré un problème de logique contractuelle, entraînant le blocage de 11,5k ETH( d'une valeur d'environ 34 millions de dollars). La principale raison est une conception inappropriée de la fonction de remboursement, qui n'a pas pris en compte les cas de soumissions multiples par les utilisateurs.
événement XCarnival
Le 24 juin 2022, le protocole de prêt NFT XCarnival a été attaqué, avec une perte de 3087 ETH(, soit environ 3,8 millions de dollars). La vulnérabilité résidait dans des défauts dans la logique de mise en jeu et de prêt, n'effectuant pas une vérification adéquate des garanties et de l'état du prêt.
Problèmes de sécurité courants des contrats NFT
Défaillance du mécanisme de signature : y compris les problèmes de réutilisation de signature et d'usurpation.
Vulnérabilités logiques : comme un contrôle inadéquat de la quantité de pièces, des failles d'enchères, etc.
Attaque de réentrance ERC721/ERC1155 : peut provoquer une réentrance dans les notifications de transfert.
Plage d'autorisation trop large : des autorisations globales inutiles augmentent le risque de vol d'actifs.
Manipulation des prix : la dépendance à des sources de données externes peut entraîner des liquidations anormales.
Ces problèmes sont courants lors des attaques réelles, soulignant l'importance d'un audit de sécurité complet pour les projets NFT. Les développeurs doivent accorder de l'importance à la sécurité des contrats et inviter des organismes professionnels à effectuer des audits afin de prévenir les risques potentiels.