Безопасность NFT-контрактов: Анализ событий первой половины 2022 года и обсуждение распространенных вопросов
В первой половине 2022 года в области NFT произошло множество инцидентов с безопасностью, что привело к огромным потерям. В данной статье будет проведен глубокий анализ состояния безопасности NFT-контрактов за этот период, рассмотрены типичные случаи и распространенные проблемы.
Обзор инцидентов с безопасностью NFT за первое полугодие
Согласно данным мониторинга безопасности блокчейна, в первой половине 2022 года произошло 10 крупных инцидентов безопасности с NFT, общие убытки составили около 64,9 миллиона долларов США. Основными способами атак были использование уязвимостей контрактов, утечка приватных ключей и фишинг. Стоит отметить, что фишинг-атаки на платформе Discord особенно распространены, почти каждый день пользователи несут убытки из-за этого.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта 2022 года платформа TreasureDAO была атакована хакерами, более 100 NFT было украдено.
Причина уязвимости: путаница в логике контракта. Функция buyItem контракта TreasureMarketplaceBuyer не проверяет тип токена, что позволяет покупать NFT в случае, если сумма платежа в ERC-20 токенах равна 0. Это связано с смешиванием токенов ERC-1155 и ERC-721, где не было специальной обработки для ERC-721, не имеющего концепции количества.
APE Coin аирдроп событие
17 марта 2022 года хакеры получили более 60 000 монет APE Coin через флеш-кредит.
Причина уязвимости: логический дефект контракта. Контракт на аирдроп определяет право собственности пользователя на NFT только через balanceOf(), что позволяет получить лишь мгновенное состояние и может быть манипулировано с помощью флеш-кредита.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся хакерской атаке, понес убытки в 120 тысяч долларов.
Причина уязвимости: повторная атака ERC-1155. В контракте Revest существует уязвимость повторного входа при добавлении FNFT залоговых активов, вызванная внешним вызовом в функции выпуска.
NBA事件 по наживу
21 апреля 2022 года проект NBA подвергся хакерской атаке.
Причина уязвимости: недостаток проверки подписи. В контракте The_Association_Sales существуют проблемы с подделкой и повторным использованием подписи при проверке в белом списке.
Событие Akutar
23 апреля 2022 года у проекта Akutar в результате уязвимости контракта AkuAuction было заблокировано 11 000 ETH.
Причина уязвимости: дефект логики возврата. Функция возврата подвержена риску злонамеренной блокировки и не учитывает ситуацию с многократными ставками пользователей, что приводит к невозможности выполнения возврата.
Событие XCarnival
24 июня 2022 года XCarnival подвергся атаке и понес убытки в размере 3,8 миллиона долларов.
Причина уязвимости: недостаточная проверка записей о залоге. Контракт XNFT не проводит достаточную проверку при залоге и заимствовании, что приводит к повторному использованию недействительных записей о залоге.
Распространенные проблемы безопасности с NFT-контрактами
Проблема проверки подписи: отсутствует повторная проверка, проверка подписи нестрога.
Логическая уязвимость: неправильные ограничения на чеканку, наличие уязвимостей в процессе торгов.
Атака повторного входа ERC721/ERC1155: функция уведомления о переводе может привести к повторному входу.
Чрезмерное разрешение: требует глобального разрешения, но на самом деле требуется только разрешение на один токен.
Манипуляция ценами: Цены зависят от факторов, которые могут быть манипулированы с помощью Flash Loan.
В заключение, вопросы безопасности контрактов NFT сложны и разнообразны, профессиональный аудит особенно важен. Команды проекта должны уделять внимание безопасности контрактов, всесторонне оценивать потенциальные риски и обеспечивать безопасность активов пользователей.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
22 Лайков
Награда
22
7
Репост
Поделиться
комментарий
0/400
BackrowObserver
· 07-05 13:17
Эти неудачники действительно жестоко разыгрываются.
Посмотреть ОригиналОтветить0
TokenVelocityTrauma
· 07-05 09:51
Снова разыгрывайте людей как лохов.
Посмотреть ОригиналОтветить0
SmartContractRebel
· 07-02 15:48
Этот контракт не проходит аудит? Проснитесь!
Посмотреть ОригиналОтветить0
metaverse_hermit
· 07-02 15:41
Сколько украли? Посмотри, я голоден.
Посмотреть ОригиналОтветить0
MetaverseLandlord
· 07-02 15:41
Настоящий аромат. Неудачники, добро пожаловать, разыгрывайте людей как лохов~
Анализ безопасности NFT-контрактов: обсуждение типичных событий и распространенных уязвимостей в первой половине 2022 года
Безопасность NFT-контрактов: Анализ событий первой половины 2022 года и обсуждение распространенных вопросов
В первой половине 2022 года в области NFT произошло множество инцидентов с безопасностью, что привело к огромным потерям. В данной статье будет проведен глубокий анализ состояния безопасности NFT-контрактов за этот период, рассмотрены типичные случаи и распространенные проблемы.
Обзор инцидентов с безопасностью NFT за первое полугодие
Согласно данным мониторинга безопасности блокчейна, в первой половине 2022 года произошло 10 крупных инцидентов безопасности с NFT, общие убытки составили около 64,9 миллиона долларов США. Основными способами атак были использование уязвимостей контрактов, утечка приватных ключей и фишинг. Стоит отметить, что фишинг-атаки на платформе Discord особенно распространены, почти каждый день пользователи несут убытки из-за этого.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта 2022 года платформа TreasureDAO была атакована хакерами, более 100 NFT было украдено.
Причина уязвимости: путаница в логике контракта. Функция buyItem контракта TreasureMarketplaceBuyer не проверяет тип токена, что позволяет покупать NFT в случае, если сумма платежа в ERC-20 токенах равна 0. Это связано с смешиванием токенов ERC-1155 и ERC-721, где не было специальной обработки для ERC-721, не имеющего концепции количества.
APE Coin аирдроп событие
17 марта 2022 года хакеры получили более 60 000 монет APE Coin через флеш-кредит.
Причина уязвимости: логический дефект контракта. Контракт на аирдроп определяет право собственности пользователя на NFT только через balanceOf(), что позволяет получить лишь мгновенное состояние и может быть манипулировано с помощью флеш-кредита.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся хакерской атаке, понес убытки в 120 тысяч долларов.
Причина уязвимости: повторная атака ERC-1155. В контракте Revest существует уязвимость повторного входа при добавлении FNFT залоговых активов, вызванная внешним вызовом в функции выпуска.
NBA事件 по наживу
21 апреля 2022 года проект NBA подвергся хакерской атаке.
Причина уязвимости: недостаток проверки подписи. В контракте The_Association_Sales существуют проблемы с подделкой и повторным использованием подписи при проверке в белом списке.
Событие Akutar
23 апреля 2022 года у проекта Akutar в результате уязвимости контракта AkuAuction было заблокировано 11 000 ETH.
Причина уязвимости: дефект логики возврата. Функция возврата подвержена риску злонамеренной блокировки и не учитывает ситуацию с многократными ставками пользователей, что приводит к невозможности выполнения возврата.
Событие XCarnival
24 июня 2022 года XCarnival подвергся атаке и понес убытки в размере 3,8 миллиона долларов.
Причина уязвимости: недостаточная проверка записей о залоге. Контракт XNFT не проводит достаточную проверку при залоге и заимствовании, что приводит к повторному использованию недействительных записей о залоге.
Распространенные проблемы безопасности с NFT-контрактами
Проблема проверки подписи: отсутствует повторная проверка, проверка подписи нестрога.
Логическая уязвимость: неправильные ограничения на чеканку, наличие уязвимостей в процессе торгов.
Атака повторного входа ERC721/ERC1155: функция уведомления о переводе может привести к повторному входу.
Чрезмерное разрешение: требует глобального разрешения, но на самом деле требуется только разрешение на один токен.
Манипуляция ценами: Цены зависят от факторов, которые могут быть манипулированы с помощью Flash Loan.
В заключение, вопросы безопасности контрактов NFT сложны и разнообразны, профессиональный аудит особенно важен. Команды проекта должны уделять внимание безопасности контрактов, всесторонне оценивать потенциальные риски и обеспечивать безопасность активов пользователей.