Segurança de Contratos NFT: Análise de Eventos do Primeiro Semestre de 2022 e Análise de Problemas Comuns

No primeiro semestre de 2022, ocorreram vários incidentes de segurança relacionados a NFTs no campo da segurança blockchain, resultando em enormes perdas econômicas. Este artigo irá analisar esses eventos em profundidade e discutir as questões comuns no processo de auditoria de contratos NFT.

Visão Geral dos Incidentes de Segurança de NFT

De acordo com os dados da plataforma de monitoramento de segurança da blockchain, ocorreram 10 incidentes de segurança significativos relacionados a NFTs na primeira metade de 2022, resultando em perdas totais de cerca de 64,9 milhões de dólares. Os principais métodos de ataque incluem a exploração de vulnerabilidades de contrato, o vazamento de chaves privadas e ataques de phishing. Vale ressaltar que ataques de phishing na plataforma Discord ocorrem quase diariamente, causando perdas frequentes para usuários individuais.

Análise de Eventos de Segurança Típicos

Evento TreasureDAO

No dia 3 de março de 2022, a plataforma de negociação TreasureDAO foi atacada por hackers, resultando no roubo de mais de 100 NFTs.

Causa da vulnerabilidade: lógica do contrato confusa. A função buyItem do contrato TreasureMarketplaceBuyer não verifica o tipo de token, calculando o preço total diretamente multiplicando a quantidade pelo preço unitário, o que permite comprar NFTs com 0 tokens ERC-20. Isso ocorre devido ao uso misto de tokens ERC-1155 e ERC-721, sem tratamento especial para os tokens 721.

Evento de airdrop do APE Coin

No dia 17 de março de 2022, hackers obtiveram mais de 60 mil APE Coin a partir de empréstimos relâmpago.

Causa da vulnerabilidade: o contrato de airdrop apenas verificou o estado instantâneo de posse de NFT do usuário, o atacante pode obter o airdrop emprestando temporariamente o NFT através de um empréstimo relâmpago.

Evento Revest Finance

No dia 27 de março de 2022, a Revest Finance foi atacada por hackers, resultando em uma perda de 120 mil dólares.

Causa da vulnerabilidade: ataque de reentrada ERC-1155. O contrato não verifica se já existe ao cunhar um novo FNFT, e a variável de estado é incrementada após a função _mint(), resultando em uma vulnerabilidade de reentrada.

evento do projeto NBA

No dia 21 de abril de 2022, o projeto NBA foi atacado por hackers.

Causa da vulnerabilidade: uso e reutilização indevidos de assinaturas. O contrato não armazenou as assinaturas já utilizadas e não verificou o msg.sender, levando à possibilidade de reutilização e uso indevido das assinaturas.

Evento Akutar

Em 23 de abril de 2022, o projeto Akutar teve 11.000 ETH bloqueados devido a uma falha no contrato.

Causa da falha: Defeito na lógica de reembolso. A função de reembolso não considerou a possibilidade de os usuários licitarem em múltiplos NFTs, resultando na impossibilidade de completar o reembolso.

Evento XCarnival

No dia 24 de junho de 2022, XCarnival foi atacado, e os hackers lucraram 3087 ETH.

Causa da vulnerabilidade: falha na lógica de empréstimo. O contrato não verificou a legalidade do endereço xToken e não validou o estado dos registros de garantia, resultando na possibilidade de reutilizar registros de garantia inválidos para empréstimos.

Perguntas frequentes sobre auditoria de contratos NFT

1. Uso indevido e reutilização de assinatura

   • Falta de verificação de reutilização de assinatura
   • A lógica de verificação de assinatura não é rigorosa

2. Falha lógica

   • Controle inadequado da quantidade total de moedas
   • O processo de leilão possui dependência de ordem

3. Ataque de reentrada ERC721/ERC1155

   • A funcionalidade de notificação de transferência pode causar reentrada

4. O alcance da autorização é excessivo

   • Exigir autorização de todos os tokens em vez de um único token

5. Risco de manipulação de preços

   • O preço do NFT depende de indicadores suscetíveis a manipulação

Em suma, os problemas de segurança dos contratos NFT ainda são comuns. As equipes de projeto devem dar importância à auditoria de segurança dos contratos, escolhendo equipas de segurança profissionais para realizar uma inspeção completa, a fim de evitar a ocorrência de eventos de segurança semelhantes.