Top 5 des vulnérabilités des contrats intelligents NFT à surveiller
Le secteur des NFT a connu plusieurs problèmes depuis son apparition, ce qui a incité de nombreuses personnes à s’inquiéter du fait que les NFT ne sont pas aussi sûrs qu’on le pensait auparavant. Cependant, le problème ne réside pas avec les NFT eux-mêmes.
Les NFT sont en fait des contrats intelligents, et ces contrats sont sujets à des vulnérabilités. Dans leur essence, les contrats intelligents ne sont que du code, et plus le code est complexe, plus il y a de place pour que des erreurs apparaissent. Bien sûr, les développeurs ont tendance à passer au peigne fin leur code à la recherche d’erreurs et de vulnérabilités, mais même après une recherche approfondie, une ou deux failles peuvent encore subsister et causer des problèmes plus tard, surtout si de mauvais acteurs parviennent à les identifier.
C’est pourquoi des audits de sécurité doivent encore être effectués, car le code des contrats intelligents nécessite une plus grande attention. Alors, et alors seulement, les contrats intelligents – et dans une certaine mesure, les NFT – pourront être correctement sécurisés.
Jetons un coup d’œil à certains des défauts les plus courants mais toujours assez dangereux qui ont tendance à être présents dans les contrats intelligents :
Vulnérabilités de vente de jetons NFT
La première opportunité pour les mauvais acteurs d’utiliser les failles des contrats intelligents pour perturber un projet NFT est lors des ventes de jetons. L’un des exemples les plus notables est la vente de jetons Adidas NFT.
Alors que la vente était en cours, un attaquant a réussi à contourner les limites du maximum de jetons achetés pour un portefeuille. En conséquence, le pirate a réussi à marquer 330 NFT, perturbant de manière permanente la première collection NFT d’Adidas « Into the Metaverse ». Tout ce que le pirate avait à faire pour y parvenir est de supprimer la limite selon laquelle seuls deux NFT peuvent être marqués par portefeuille Ethereum.
Vulnérabilités du marché
Le prochain défaut n’implique pas nécessairement les NFT eux-mêmes, mais les marchés où ils peuvent être trouvés. OpenSea, le plus grand marché NFT au monde, en est un exemple. Il n’y a pas si longtemps, OpenSea a subi une attaque au cours de laquelle la partie fautive a réussi à acheter des pièces à leur ancien prix.
Cette échappatoire a permis à plusieurs personnes d’acheter des NFT de valeur à des prix nettement inférieurs à la valeur marchande des jetons. Le projet le plus notable qui a été affecté par cela a été le Bored Ape Yacht Club, avec l’un de ses NFT (# 9991) acheté pour 0,77 ETH, uniquement pour que l’attaquant le revende pour 84,2 ETH.
Clés privées exposées
Le troisième problème que je voudrais mentionner n’est pas spécifique aux NFT. En fait, cela fait partie de l’industrie de la cryptographie depuis qu’il existe une industrie de la cryptographie. Il s’articule autour du stockage sécurisé des clés privées, qui sont utilisées pour accéder aux portefeuilles et effectuer des paiements.
Les pirates ont identifié de nombreuses méthodes qui peuvent être utilisées contre des investisseurs non informés pour voler leurs clés privées et accéder à leurs pièces et jetons. L’hameçonnage est l’une des méthodes les plus couramment utilisées. Une fois de plus, OpenSea vient à l’esprit, car il a récemment subi une attaque de phishing, où les utilisateurs pensaient qu’ils envoyaient des transactions au réseau.
Au lieu de cela, un pirate les a amenés à signer les données à l’aide de MetaMask, et avec l’aide de leur signature, l’attaquant a réussi à voler leurs fonds.
Attaques de réentrance
Un autre type d’attaque est connu sous le nom d’attaque de réentrée, et celui-ci concerne la norme NFT la plus populaire d’OpenZeppelin. Essentiellement, l’implémentation la plus populaire d’OpenZeppelin de la norme NFT a une fonction de rappel.
Il s’agit essentiellement d’une fonction destinée à aider les développeurs à intégrer les NFT dans les projets, mais le problème est qu’elle peut également être utilisée à mauvais escient pour mener des attaques de réentrée, à condition que les développeurs de code aient été assez négligents pour oublier de fournir une protection contre eux. L’un des derniers exemples de cette attaque s’est produit le 3 février lorsqu’un contrat HypeBeast NFT a signalé une transaction d’attaque.
Le projet avait une limite sur le nombre de NFT qu’un compte peut créer, mais les attaquants ont utilisé la fonction de rappel pour invoquer à nouveau la fonction mintNFT.
Escroqueries et tapis NFT
Il y a eu de nombreux exemples de cela, comme Cool Kittens, qui a promis aux investisseurs un jeton électronique avec de l’art de chat, un jeton spécialement conçu appelé PURR et l’adhésion à un DAO. Toutes des promesses plutôt standard que de nombreux projets NFT ont faites et tenues. Cool Kittens, cependant, ne l’a pas fait. Trois semaines seulement après l’annonce de la collection NFT, la frappe a commencé et les NFT ont été mis en vente. Le projet a explosé, vendant plus de 2 200 NFT en quelques heures seulement, pour un prix de 70 $ chacun.
Les développeurs ont collecté 160 000 dollars auprès d’un public mondial d’acheteurs de crypto, puis ils ont tout simplement disparu avec l’argent. Ce n’est qu’un exemple de quelque chose qui est assez courant dans l’industrie de la cryptographie, donc toute personne participant à des ventes de jetons de quelque nature que ce soit doit le garder à l’esprit et faire preuve d’une extrême prudence.
Conclusion
Le secteur NFT offre de nombreuses opportunités d’investissements plutôt rémunérateurs, mais il peut également être utilisé contre les investisseurs à travers un certain nombre de vulnérabilités différentes. Ce n’est pas toujours le cas, car parfois, la faille peut venir du marché qui les vend, des investisseurs qui ne savent pas comment se protéger, ou même des développeurs NFT, qui souhaitent arnaquer la communauté et disparaître avec leur argent. .
La seule façon d’en protéger les investisseurs est que les projets effectuent des audits de leurs contrats intelligents et que les places de marché vérifient régulièrement leurs systèmes à la recherche de bogues et de défauts. Quant aux investisseurs eux-mêmes, la seule chose qu’ils peuvent faire est de faire preuve de prudence et de s’informer sur les menaces qu’ils pourraient rencontrer et sur ce qu’il faut faire s’ils rencontrent l’un de ces problèmes ou d’autres.
Le post Top 5 des vulnérabilités des contrats intelligents NFT à surveiller est apparu en premier sur CryptoSlate.