Sécurité des contrats NFT : Analyse des événements du premier semestre 2022 et analyse des questions courantes

Au cours du premier semestre 2022, plusieurs incidents de sécurité liés aux NFT se sont produits dans le domaine de la sécurité blockchain, entraînant d'énormes pertes économiques. Cet article analysera en profondeur ces événements et explorera les problèmes courants dans le processus d'audit des contrats NFT.

Aperçu des incidents de sécurité NFT

Selon les données de la plateforme de surveillance de la sécurité blockchain, il y a eu 10 incidents majeurs de sécurité liés aux NFT au cours du premier semestre 2022, avec des pertes totales d'environ 64,9 millions de dollars. Les principales méthodes d'attaque comprennent l'exploitation de vulnérabilités de contrat, la fuite de clés privées et les attaques de phishing, entre autres. Il est à noter que les attaques de phishing sur la plateforme Discord se produisent presque quotidiennement, entraînant des pertes fréquentes pour les utilisateurs individuels.

Analyse des incidents de sécurité typiques

événement TreasureDAO

Le 3 mars 2022, la plateforme d'échange TreasureDAO a été victime d'une attaque de hackers, entraînant le vol de plus de 100 NFT.

Cause de la faille : logique de contrat confuse. La fonction buyItem du contrat TreasureMarketplaceBuyer ne vérifie pas le type de jeton et calcule directement le prix total en multipliant la quantité par le prix unitaire, ce qui permet d'acheter un NFT avec 0 jeton ERC-20. Cela est dû à la confusion entre les jetons ERC-1155 et ERC-721, sans traitement spécial pour les jetons 721.

Événement d'airdrop APE Coin

Le 17 mars 2022, des hackers ont obtenu plus de 60 000 APE Coin par le biais d'un prêt éclair.

Raison de la vulnérabilité : le contrat de distribution ne vérifiait que l'état de détention instantané des NFT par l'utilisateur, l'attaquant pouvait emprunter temporairement des NFT via un prêt flash pour obtenir l'airdrop.

Événement Revest Finance

Le 27 mars 2022, Revest Finance a été victime d'une attaque de hackers, avec une perte de 120 000 $.

Cause de la vulnérabilité : attaque de réentrance ERC-1155. Le contrat ne vérifie pas si un FNFT existe déjà lors de la création d'un nouveau FNFT, et la variable d'état est incrémentée après la fonction _mint(), ce qui a entraîné une vulnérabilité de réentrance.

événement du projet NBA

Le 21 avril 2022, le projet NBA a été piraté.

Cause de la vulnérabilité : usurpation et réutilisation de signatures. Le contrat n'a pas stocké les signatures déjà utilisées et n'a pas vérifié msg.sender, ce qui a permis la réutilisation et l'usurpation de signatures.

Événement Akutar

Le 23 avril 2022, le projet Akutar a entraîné le blocage de 11 000 ETH en raison d'une faille dans le contrat.

Raison de la faille : défaut de logique de remboursement. La fonction de remboursement n'a pas pris en compte le fait que l'utilisateur peut enchérir sur plusieurs NFT, ce qui empêche le remboursement d'être jamais complété.

événement XCarnival

Le 24 juin 2022, XCarnival a été attaqué, et les hackers ont réalisé un profit de 3087 ETH.

Cause de la vulnérabilité : défaut de logique de prêt. Le contrat n'a pas vérifié la validité de l'adresse xToken et n'a pas vérifié l'état des enregistrements de garantie, ce qui a conduit à l'utilisation répétée d'enregistrements de garantie non valides pour le prêt.

Questions fréquentes sur l'audit des contrats NFT

1. Usurpation et réutilisation de signature

   • Vérification de la réutilisation des signatures manquante
   • La logique de vérification de la signature n'est pas rigoureuse

2. Failles logiques

   • Contrôle inadéquat de l'offre totale de pièces
   • Le processus d'enchères présente une dépendance d'ordre

3. Attaque par réentrance ERC721/ERC1155

   • La fonction de notification de transfert peut entraîner une réentrante.

4. Portée des autorisations trop large

   • Exiger l'autorisation de tous les jetons plutôt que d'un seul jeton

5. Risque de manipulation des prix

   • Le prix des NFT dépend d'indicateurs facilement manipulables

En résumé, les problèmes de sécurité des contrats NFT restent largement répandus. Les équipes de projet doivent accorder de l'importance à l'audit de la sécurité des contrats et choisir une équipe de sécurité professionnelle pour effectuer une vérification complète afin d'éviter la survenue d'événements de sécurité similaires.