No primeiro semestre de 2022, ocorreram frequentes incidentes de segurança relacionados a NFTs, com falhas em contratos inteligentes sendo o principal risco.
Relatório de Análise de Segurança de Contratos NFT: Problemas Comuns e Casos Típicos
No primeiro semestre de 2022, ocorreram vários eventos de segurança significativos no campo dos NFTs, com uma perda total de aproximadamente 64,9 milhões de dólares. Esses eventos foram principalmente causados por exploração de vulnerabilidades de contratos, vazamento de chaves privadas e ataques de phishing. Vale ressaltar que os ataques de phishing na plataforma Discord acontecem quase todos os dias, causando perdas frequentes aos usuários individuais.
Análise de Incidentes de Segurança Típicos
Evento TreasureDAO
No dia 3 de março, a plataforma de negociação TreasureDAO foi atacada, resultando no roubo de mais de 100 NFTs. A causa fundamental deste incidente foi a confusão lógica gerada pela mistura de tokens ERC-1155 e ERC-721. O contrato não fez a distinção entre os tipos de token, aplicando incorretamente o conceito de quantidade, que não é aplicável a ERC-721, ao cálculo de preços.
Evento de airdrop da APE Coin
No dia 17 de março, um hacker utilizou um empréstimo relâmpago para obter mais de 60.000 APE Coin em airdrop. A vulnerabilidade estava no contrato de airdrop, que apenas verifica a posse momentânea do NFT pelo usuário, o que pode ser facilmente manipulado com um empréstimo relâmpago.
Evento Revest Finance
No dia 27 de março, a Revest Finance foi atacada, resultando em uma perda de aproximadamente 120 mil dólares. Este é um caso típico de ataque de reentrada ERC-1155. O contrato não verificou adequadamente ao cunhar novos FNFTs, resultando na criação de uma vulnerabilidade de reentrada.
evento de aproveitamento da NBA
No dia 21 de abril, o projeto da NBA sofreu um ataque. O problema estava no mecanismo de verificação da lista branca, existindo dois problemas principais: uso indevido e reutilização de assinaturas. O contrato não armazenava as assinaturas já utilizadas, nem realizava uma verificação rigorosa dos signatários.
Evento Akutar
No dia 23 de abril, o projeto Akutar teve 34 milhões de dólares em ativos bloqueados devido a uma vulnerabilidade no contrato. Os principais problemas incluíram uma falha lógica na função de reembolso e a não consideração da situação em que os usuários fazem várias ofertas.
Evento XCarnival
No dia 24 de junho, o XCarnival foi atacado, resultando em uma perda de cerca de 3,8 milhões de dólares. Os atacantes exploraram uma vulnerabilidade lógica no contrato durante o processo de staking de NFTs e empréstimos, reutilizando registros de colateral inválidos para obter empréstimos.
Problemas de segurança comuns em contratos NFT
Uso indevido e reutilização de assinaturas: falta de verificação de execução repetida e de validade do signatário.
Vulnerabilidades lógicas: como a administração contornar o limite total de emissão de moedas, a ordem das transações durante o processo de licitação depender de ataques, etc.
Ataque de reentrada ERC721/ERC1155: pode ocorrer ao usar a função de notificação de transferência.
Autorização excessiva: Os usuários são solicitados a conceder autorizações excessivas em certas operações.
Manipulação de preços: O preço dos NFTs depende de fatores externos e pode ser manipulado por meio de métodos como empréstimos relâmpago.
Essas questões aparecem frequentemente em ataques reais, destacando a importância de auditorias de segurança profissionais. As equipes de projeto devem dar atenção à segurança dos contratos e buscar equipes profissionais para realizar auditorias completas, a fim de prevenir riscos potenciais.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
5 Curtidas
Recompensa
5
4
Compartilhar
Comentário
0/400
xSm2
· 8h atrás
APE Não é um dam(?) projetos. de fato, eu acredito que está tão à frente dos olhos de todos, que vamos revirar os olhos em (investing) termos de tempo SooN.
ainda há coisas em pipeline com nfts e APE especificamente.
filme* Tempo
Ver originalResponder0
MEVHunterWang
· 14h atrás
Quem consegue suportar esta onda de fazer as pessoas de parvas, realmente queimou quase um pequeno objetivo.
No primeiro semestre de 2022, ocorreram frequentes incidentes de segurança relacionados a NFTs, com falhas em contratos inteligentes sendo o principal risco.
Relatório de Análise de Segurança de Contratos NFT: Problemas Comuns e Casos Típicos
No primeiro semestre de 2022, ocorreram vários eventos de segurança significativos no campo dos NFTs, com uma perda total de aproximadamente 64,9 milhões de dólares. Esses eventos foram principalmente causados por exploração de vulnerabilidades de contratos, vazamento de chaves privadas e ataques de phishing. Vale ressaltar que os ataques de phishing na plataforma Discord acontecem quase todos os dias, causando perdas frequentes aos usuários individuais.
Análise de Incidentes de Segurança Típicos
Evento TreasureDAO
No dia 3 de março, a plataforma de negociação TreasureDAO foi atacada, resultando no roubo de mais de 100 NFTs. A causa fundamental deste incidente foi a confusão lógica gerada pela mistura de tokens ERC-1155 e ERC-721. O contrato não fez a distinção entre os tipos de token, aplicando incorretamente o conceito de quantidade, que não é aplicável a ERC-721, ao cálculo de preços.
Evento de airdrop da APE Coin
No dia 17 de março, um hacker utilizou um empréstimo relâmpago para obter mais de 60.000 APE Coin em airdrop. A vulnerabilidade estava no contrato de airdrop, que apenas verifica a posse momentânea do NFT pelo usuário, o que pode ser facilmente manipulado com um empréstimo relâmpago.
Evento Revest Finance
No dia 27 de março, a Revest Finance foi atacada, resultando em uma perda de aproximadamente 120 mil dólares. Este é um caso típico de ataque de reentrada ERC-1155. O contrato não verificou adequadamente ao cunhar novos FNFTs, resultando na criação de uma vulnerabilidade de reentrada.
evento de aproveitamento da NBA
No dia 21 de abril, o projeto da NBA sofreu um ataque. O problema estava no mecanismo de verificação da lista branca, existindo dois problemas principais: uso indevido e reutilização de assinaturas. O contrato não armazenava as assinaturas já utilizadas, nem realizava uma verificação rigorosa dos signatários.
Evento Akutar
No dia 23 de abril, o projeto Akutar teve 34 milhões de dólares em ativos bloqueados devido a uma vulnerabilidade no contrato. Os principais problemas incluíram uma falha lógica na função de reembolso e a não consideração da situação em que os usuários fazem várias ofertas.
Evento XCarnival
No dia 24 de junho, o XCarnival foi atacado, resultando em uma perda de cerca de 3,8 milhões de dólares. Os atacantes exploraram uma vulnerabilidade lógica no contrato durante o processo de staking de NFTs e empréstimos, reutilizando registros de colateral inválidos para obter empréstimos.
Problemas de segurança comuns em contratos NFT
Uso indevido e reutilização de assinaturas: falta de verificação de execução repetida e de validade do signatário.
Vulnerabilidades lógicas: como a administração contornar o limite total de emissão de moedas, a ordem das transações durante o processo de licitação depender de ataques, etc.
Ataque de reentrada ERC721/ERC1155: pode ocorrer ao usar a função de notificação de transferência.
Autorização excessiva: Os usuários são solicitados a conceder autorizações excessivas em certas operações.
Manipulação de preços: O preço dos NFTs depende de fatores externos e pode ser manipulado por meio de métodos como empréstimos relâmpago.
Essas questões aparecem frequentemente em ataques reais, destacando a importância de auditorias de segurança profissionais. As equipes de projeto devem dar atenção à segurança dos contratos e buscar equipes profissionais para realizar auditorias completas, a fim de prevenir riscos potenciais.
Não é um dam(?) projetos.
de fato, eu acredito que está tão à frente dos olhos de todos, que vamos revirar os olhos em (investing) termos de tempo SooN.
ainda há coisas em pipeline com nfts e APE especificamente.
filme* Tempo