Segurança de Contratos NFT: Revisão de Eventos do Primeiro Semestre e Análise de Questões Comuns

No primeiro semestre de 2022, a situação de segurança no campo dos NFTs não é encorajadora. Segundo o monitoramento de plataformas de dados, ocorreram 10 eventos de segurança significativos, resultando em perdas de cerca de 6490 milhões de dólares. Os principais métodos de ataque incluem a exploração de vulnerabilidades de contratos, vazamento de chaves privadas e phishing. É importante notar que os servidores do Discord foram frequentemente atacados, e os usuários perderam dinheiro ao clicar em links de phishing.

Revisão de Eventos de Segurança Típicos

Evento TreasureDAO

No dia 3 de março, a plataforma de negociação TreasureDAO foi alvo de um ataque hacker, resultando no roubo de mais de 100 NFTs. A vulnerabilidade originou-se de um erro lógico na função buyItem do contrato TreasureMarketplaceBuyer, que não verificou o tipo de token, permitindo a compra de NFTs ao pagar 0 tokens. Isso reflete um problema de confusão lógica causado pela mistura de tokens ERC-1155 e ERC-721.

Evento de airdrop do APE Coin

No dia 17 de março, hackers utilizaram um empréstimo relâmpago para obter mais de 60.000 APE Coin em airdrop. A vulnerabilidade estava no contrato de airdrop do AirdropGrapesToken, que apenas determinava a propriedade do NFT através de um estado imediato, e esse estado podia ser manipulado por empréstimos relâmpago.

Evento Revest Finance

No dia 27 de março, a Revest Finance foi atacada, resultando em uma perda de 120 mil dólares. A vulnerabilidade envolveu um ataque de reentrada ERC-1155, originado no momento inadequado da atualização do estado da variável na função depositAdditionalToFNFT().

evento NBA de aproveitar as oportunidades

No dia 21 de abril, o projeto da NBA foi atacado por hackers. O problema reside no mecanismo de verificação de assinatura do contrato The_Association_Sales, que apresenta riscos de uso indevido e reutilização de assinaturas.

Evento Akutar

No dia 23 de abril, o contrato AkuAuction do projeto Akutar teve um bloqueio de 11.5 mil ETH (cerca de 34 milhões de dólares) devido a uma vulnerabilidade lógica. O problema principal reside no defeito de design da função de reembolso, que não considerou a situação de múlt ofertas por parte dos usuários.

Evento XCarnival

No dia 24 de junho, o XCarnival foi atacado, e os hackers lucraram 3087 ethers. A vulnerabilidade estava no contrato XNFT, onde a lógica de staking e empréstimo apresentava falhas, permitindo que os atacantes reutilizassem registros de colateral inválidos.

Perguntas Frequentes sobre Contratos NFT

1. Uso e reutilização de assinaturas:

   • Falta a validação de execução repetida
   • Verificação de assinatura não rigorosa

2. Falhas lógicas:

   • Controle inadequado da oferta total de moedas
   • A ordem das transações durante o processo de leilão depende de ataques

3. Ataque de reentrada ERC721/ERC1155:

   • A função de notificação de transferência pode causar reentrada

4. O alcance da autorização é muito amplo:

   • A autorização excessiva pode levar ao roubo de NFT

5. Manipulação de preços:

   • O preço do NFT depende de fatores externos e é suscetível a ataques como empréstimos relâmpago.

Tendo em vista os problemas acima, as partes do projeto NFT devem dar importância à auditoria de segurança dos contratos, a fim de prevenir riscos potenciais e garantir a segurança dos ativos dos usuários.