Sécurité des contrats NFT : Revue des événements du premier semestre et analyse des questions courantes

Au cours du premier semestre 2022, la situation de la sécurité dans le domaine des NFT est préoccupante. Selon les données surveillées par la plateforme, 10 incidents de sécurité majeurs ont eu lieu, entraînant des pertes d'environ 64,9 millions de dollars. Les principales méthodes d'attaque comprennent l'exploitation de vulnérabilités de contrat, la fuite de clés privées et le phishing. Il convient de noter que les serveurs Discord ont été fréquemment attaqués, et les utilisateurs ont souvent perdu de l'argent en cliquant sur des liens de phishing.

Revue des incidents de sécurité typiques

événement TreasureDAO

Le 3 mars, la plateforme d'échange TreasureDAO a été victime d'une attaque de hacker, entraînant le vol de plus de 100 NFT. La vulnérabilité provenait d'une erreur logique dans la fonction buyItem du contrat TreasureMarketplaceBuyer, qui ne vérifiait pas le type de jeton, permettant ainsi d'acheter des NFT en payant 0 jeton. Cela met en évidence le problème de confusion logique causé par le mélange des jetons ERC-1155 et ERC-721.

événement d'airdrop APE Coin

Le 17 mars, des hackers ont utilisé un prêt éclair pour obtenir plus de 60 000 APE Coin en airdrop. La vulnérabilité se trouvait dans le contrat d'airdrop AirdropGrapesToken, qui ne jugeait la propriété des NFT que par son état instantané, et cet état pouvait être manipulé par des prêts éclair.

Événement Revest Finance

Le 27 mars, Revest Finance a été attaqué, subissant une perte de 120 000 $. La vulnérabilité était liée à une attaque par réentrées ERC-1155, résultant d'un moment inapproprié dans la mise à jour des variables d'état dans la fonction depositAdditionalToFNFT().

événement de profit facile NBA

Le 21 avril, le projet NBA a été piraté. Le problème provenait du mécanisme de vérification des signatures du contrat The_Association_Sales, qui présentait des risques de contrefaçon et de réutilisation des signatures.

Akutar événement

Le 23 avril, le contrat AkuAuction du projet Akutar a été bloqué en raison d'une faille logique, entraînant le blocage de 11 500 ETH (environ 34 millions de dollars). Le principal problème réside dans le défaut de conception de la fonction de remboursement, qui n'a pas pris en compte les situations de soumission multiples par les utilisateurs.

événement XCarnival

Le 24 juin, XCarnival a été attaqué, les hackers ont réalisé un bénéfice de 3087 ethers. La vulnérabilité était dans le contrat XNFT, la logique de mise en gage et de prêt avait des défauts, permettant aux attaquants de réutiliser des enregistrements de garantie invalides.

Questions fréquentes sur les contrats NFT

1. Usurpation et réutilisation de signature :

   • Vérification d'exécution répétée manquante
   • Vérification de la signature pas stricte

2. Vulnérabilité logique :

   • Contrôle inadéquat de l'offre totale de jetons
   • L'ordre des transactions lors du processus d'enchères dépend des attaques

3. Attaque de réentrance ERC721/ERC1155 :

   • La fonction de notification de transfert peut provoquer une réentrée

4. Portée de l'autorisation trop large :

   • Une autorisation excessive peut entraîner le vol de NFT.

5. Manipulation des prix :

   • Le prix des NFT dépend de facteurs externes et est vulnérable aux attaques telles que les prêts flash.

Compte tenu des problèmes mentionnés ci-dessus, les projets NFT devraient accorder une attention particulière à l'audit de la sécurité des contrats afin de prévenir les risques potentiels et de garantir la sécurité des actifs des utilisateurs.