Seguridad de contratos NFT: revisión de eventos del primer semestre y análisis de preguntas frecuentes

En la primera mitad de 2022, la situación de seguridad en el ámbito de los NFT no es optimista. Según la monitorización de plataformas de datos, se produjeron 10 incidentes de seguridad importantes, causando pérdidas de aproximadamente 64.9 millones de dólares. Los principales métodos de ataque incluyen la explotación de vulnerabilidades en los contratos, la filtración de claves privadas y el phishing, entre otros. Es notable que los servidores de Discord sufrieron ataques frecuentes, y los usuarios a menudo perdieron dinero por hacer clic en enlaces de phishing.

Revisión de eventos de seguridad típicos

evento TreasureDAO

El 3 de marzo, la plataforma de intercambio TreasureDAO fue atacada por hackers, y más de 100 NFT fueron robados. La vulnerabilidad se originó en un error lógico en la función buyItem del contrato TreasureMarketplaceBuyer, que no verificó el tipo de token, permitiendo la compra de NFT al pagar 0 tokens. Esto refleja el problema de confusión lógica causado por la mezcla de tokens ERC-1155 y ERC-721.

evento de airdrop de APE Coin

El 17 de marzo, un hacker utilizó un préstamo relámpago para obtener más de 60,000 APE Coin en un airdrop. La vulnerabilidad se presentó en el contrato de airdrop de AirdropGrapesToken, que solo determinaba la propiedad de NFT a través de un estado instantáneo, y este estado podía ser manipulado por un préstamo relámpago.

evento de Revest Finance

El 27 de marzo, Revest Finance fue atacado, lo que resultó en una pérdida de 120,000 dólares. La vulnerabilidad involucró un ataque de reentrada ERC-1155, originado en el momento inadecuado de la actualización de la variable de estado en la función depositAdditionalToFNFT().

evento de aprovechamiento de la NBA

El 21 de abril, el proyecto de la NBA fue atacado por hackers. El problema radicó en el mecanismo de verificación de firmas del contrato The_Association_Sales, que presenta riesgos de suplantación y reutilización de firmas.

Evento Akutar

El 23 de abril, el contrato AkuAuction del proyecto Akutar sufrió un bloqueo de 11,500 ETH (aproximadamente 34 millones de dólares) debido a una vulnerabilidad lógica. El problema principal radica en un defecto de diseño de la función de reembolso, que no tuvo en cuenta la situación de las pujas múltiples de los usuarios.

evento XCarnival

El 24 de junio, XCarnival fue atacado, y los hackers obtuvieron 3087 Ether. La vulnerabilidad estaba en el contrato XNFT, donde la lógica de staking y préstamo tenía defectos que permitían a los atacantes reutilizar registros de colateral inválidos.

Preguntas frecuentes sobre contratos NFT

1. Suplantación y reutilización de firmas:

   • Falta la validación de ejecución repetida
   • La verificación de la firma no es estricta

2. Vulnerabilidades lógicas:

   • Control inadecuado de la cantidad total de monedas
   • El orden de las transacciones durante el proceso de subasta depende de ataques

3. Ataques de reentrada ERC721/ERC1155:

   • La función de notificación de transferencia puede provocar reentrada

4. El alcance de la autorización es demasiado grande:

   • La autorización excesiva puede llevar al robo de NFT

5. Manipulación de precios:

   • El precio del NFT depende de factores externos y es vulnerable a ataques como los préstamos relámpago.

Dada la problemática anterior, los equipos de proyectos NFT deben prestar atención a la auditoría de seguridad de contratos para prevenir riesgos potenciales y garantizar la seguridad de los activos de los usuarios.