Seguridad de contratos NFT: Análisis de eventos de la primera mitad de 2022 y análisis de problemas comunes

En la primera mitad de 2022, ocurrieron varios incidentes de seguridad relacionados con NFT en el campo de la seguridad blockchain, causando enormes pérdidas económicas. Este artículo realizará un análisis en profundidad de estos incidentes y explorará los problemas comunes en el proceso de auditoría de contratos NFT.

Resumen de eventos de seguridad de NFT

Según los datos de la plataforma de monitoreo de seguridad blockchain, en la primera mitad de 2022 ocurrieron un total de 10 incidentes importantes de seguridad de NFT, con una pérdida total de aproximadamente 64.9 millones de dólares. Los principales métodos de ataque incluyen la explotación de vulnerabilidades en contratos, filtraciones de claves privadas y ataques de phishing, entre otros. Cabe destacar que los ataques de phishing en la plataforma Discord ocurren casi a diario, causando pérdidas frecuentes a los usuarios individuales.

Análisis de eventos de seguridad típicos

Evento TreasureDAO

El 3 de marzo de 2022, la plataforma de intercambio TreasureDAO fue atacada por hackers, lo que resultó en el robo de más de 100 NFT.

Causa del fallo: Lógica del contrato confusa. La función buyItem del contrato TreasureMarketplaceBuyer no verifica el tipo de token, simplemente multiplica la cantidad por el precio unitario para calcular el precio total, lo que permite comprar NFT con 0 ERC-20 tokens. Esto se debe a la mezcla de tokens ERC-1155 y ERC-721, y a que no se hizo un tratamiento especial para los tokens 721.

evento de airdrop de APE Coin

El 17 de marzo de 2022, un hacker obtuvo más de 60,000 APE Coin a través de un préstamo relámpago.

Causa de la vulnerabilidad: el contrato de airdrop solo verificó el estado de posesión temporal de NFT del usuario, el atacante puede obtener el airdrop al pedir prestado temporalmente un NFT a través de un préstamo relámpago.

Evento de Revest Finance

El 27 de marzo de 2022, Revest Finance fue atacado por hackers, con una pérdida de 120,000 dólares.

Causa del fallo: ataque de reentrada ERC-1155. El contrato no verifica si ya existe al acuñar un nuevo FNFT, y la variable de estado se incrementa después de la función _mint(), lo que provoca una vulnerabilidad de reentrada.

evento del proyecto NBA

El 21 de abril de 2022, el proyecto de la NBA fue atacado por hackers.

Causa de la vulnerabilidad: uso indebido y reutilización de firmas. El contrato no almacenó las firmas ya utilizadas y no verificó msg.sender, lo que permitió que las firmas pudieran ser reutilizadas y mal utilizadas.

Evento Akutar

El 23 de abril de 2022, el proyecto Akutar tuvo 11,000 ETH bloqueados debido a una vulnerabilidad en el contrato.

Causa del fallo: defecto en la lógica de reembolso. La función de reembolso no consideró la situación en la que los usuarios pueden pujar por múltiples NFT, lo que llevó a que el reembolso nunca pudiera completarse.

evento XCarnival

El 24 de junio de 2022, XCarnival fue atacado, y los hackers obtuvieron 3087 ETH.

Causa de la vulnerabilidad: defecto en la lógica de préstamos. El contrato no verificó la validez de la dirección xToken y no validó el estado del registro de colateral, lo que permitió reutilizar registros de colateral no válidos para préstamos.

Preguntas frecuentes sobre la auditoría de contratos NFT

1. Uso y reutilización de firmas

   • Falta la verificación de reutilización de firma
   • La lógica de verificación de firma no es rigurosa

2. Fallo lógico

   • Control inadecuado del suministro total de monedas
   • El proceso de subasta tiene una dependencia de orden

3. Ataques de reentrada ERC721/ERC1155

   • La función de notificación de transferencia puede provocar reentrada

4. El alcance de la autorización es demasiado amplio

   • Se requiere autorización para todos los tokens en lugar de un solo token

5. Riesgo de manipulación de precios

   • El precio de los NFT depende de indicadores que pueden ser manipulados fácilmente

En resumen, los problemas de seguridad de los contratos NFT siguen siendo comunes. Los equipos de proyectos deben dar importancia a la auditoría de seguridad de los contratos y elegir un equipo de seguridad profesional para realizar una revisión completa, con el fin de evitar la ocurrencia de eventos de seguridad similares.