Анализ проблем безопасности NFT-контрактов и разбор распространенных уязвимостей
В первой половине 2022 года в сфере NFT произошло множество инцидентов безопасности, что привело к значительным экономическим потерям. По данным одной из платформ по безопасности блокчейнов, за этот период произошло 10 крупных инцидентов безопасности NFT с общими потерями около 6490 миллионов долларов США. Основными методами атак были использование уязвимостей контрактов, утечка приватных ключей и фишинг. Стоит отметить, что фишинговые атаки на платформе Discord были особенно распространены, практически ежедневно серверы подвергались атакам, что приводило к потерям активов пользователей.
Обзор типичных инцидентов безопасности
Событие TreasureDAO
3 марта платформа TreasureDAO была взломана, более 100 NFT были украдены. Причиной инцидента стала логическая уязвимость в контракте, смешение токенов ERC-1155 и ERC-721 привело к ошибкам в расчетах, что позволило злоумышленникам покупать NFT без затрат.
Уязвимость в airdrop APE Coin
17 марта хакеры использовали флеш-кредит, чтобы получить более 60 000 токенов APE Coin в аирдропе. Уязвимость заключалась в том, что контракт аирдропа проверял только временное владение NFT вызывающим, не учитывая влияние, которое могут оказать флеш-кредиты.
Revest Finance подвергся атаке повторного входа
27 марта проект Revest Finance понес убытки в 120 000 долларов. Злоумышленники использовали уязвимость повторного входа в стандарте ERC-1155, чтобы осуществить атаку повторного входа в процессе выпуска FNFT.
Уязвимость подписей проекта NBA
21 апреля проект, связанный с NBA, подвергся атаке. Проблема заключалась в механизме проверки белого списка, в котором были два основных уязвимости: подделка и повторное использование подписей.
Событие блокировки контракта Akutar
23 апреля проект Akutar из-за уязвимости в смарт-контракте привел к тому, что 11539 ETH на сумму 34 миллиона долларов США были навсегда заблокированы в контракте. Основная причина — дефект логики функции возврата.
Атака на платформу кредитования XCarnival
24 июня протокол кредитования NFT XCarnival был атакован хакерами, в результате чего был потерян около 3,8 миллиона долларов. Нападающие использовали логическую уязвимость в контракте, повторно используя недействительные записи о залоге для получения кредита.
Общие проблемы безопасности контрактов NFT
Анализируя вышеупомянутые события, мы можем обобщить несколько распространенных проблем безопасности в NFT-контрактах:
Недостатки механизма подписи: включая проблемы с повторным использованием подписи и подделкой.
Уязвимость логического дизайна: например, неправильные ограничения на чеканку, недостатки в логике аукциона и т.д.
Проблема реализации стандартов ERC721/ERC1155: особенно риск повторного входа.
Чрезмерное разрешение: слишком широкий диапазон полномочий пользователя увеличивает риск кражи активов.
Манипуляция ценами: Механизм ценообразования NFT может быть злоупотреблен.
Эти вопросы указывают на то, что многие NFT-проекты игнорируют комплексный анализ безопасности в процессе разработки и развертывания контрактов. Чтобы снизить риски безопасности, команды NFT-проектов должны уделять внимание аудиту контрактов, нанимая профессиональные команды безопасности для комплексной оценки и устранения уязвимостей. В то же время пользователи, участвуя в NFT-проектах, также должны проявлять бдительность и заботиться о безопасности своих активов.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
15 Лайков
Награда
15
6
Поделиться
комментарий
0/400
WalletWhisperer
· 07-08 19:25
又被 разыгрывайте людей как лохов的流血了~
Посмотреть ОригиналОтветить0
AirDropMissed
· 07-08 16:14
С одной стороны ловлю, с другой стороны ворую. Чувствую, что моя счет в безопасности.
Посмотреть ОригиналОтветить0
GateUser-bd883c58
· 07-08 16:14
неудачники опять разыгрываются как лохи
Посмотреть ОригиналОтветить0
CommunityLurker
· 07-08 16:13
неудачники互相 разыгрывайте людей как лохов.....用户求生欲真高
Посмотреть ОригиналОтветить0
SignatureDenied
· 07-08 16:12
Такую потерю можно назвать значительной?
Посмотреть ОригиналОтветить0
BlockImposter
· 07-08 16:10
Будут играть для лохов методы стали более sofisticados.
Анализ шести крупных уязвимостей NFT-контрактов: частые инциденты привели к потерям почти в 65 миллионов долларов США.
Анализ проблем безопасности NFT-контрактов и разбор распространенных уязвимостей
В первой половине 2022 года в сфере NFT произошло множество инцидентов безопасности, что привело к значительным экономическим потерям. По данным одной из платформ по безопасности блокчейнов, за этот период произошло 10 крупных инцидентов безопасности NFT с общими потерями около 6490 миллионов долларов США. Основными методами атак были использование уязвимостей контрактов, утечка приватных ключей и фишинг. Стоит отметить, что фишинговые атаки на платформе Discord были особенно распространены, практически ежедневно серверы подвергались атакам, что приводило к потерям активов пользователей.
Обзор типичных инцидентов безопасности
Событие TreasureDAO
3 марта платформа TreasureDAO была взломана, более 100 NFT были украдены. Причиной инцидента стала логическая уязвимость в контракте, смешение токенов ERC-1155 и ERC-721 привело к ошибкам в расчетах, что позволило злоумышленникам покупать NFT без затрат.
Уязвимость в airdrop APE Coin
17 марта хакеры использовали флеш-кредит, чтобы получить более 60 000 токенов APE Coin в аирдропе. Уязвимость заключалась в том, что контракт аирдропа проверял только временное владение NFT вызывающим, не учитывая влияние, которое могут оказать флеш-кредиты.
Revest Finance подвергся атаке повторного входа
27 марта проект Revest Finance понес убытки в 120 000 долларов. Злоумышленники использовали уязвимость повторного входа в стандарте ERC-1155, чтобы осуществить атаку повторного входа в процессе выпуска FNFT.
Уязвимость подписей проекта NBA
21 апреля проект, связанный с NBA, подвергся атаке. Проблема заключалась в механизме проверки белого списка, в котором были два основных уязвимости: подделка и повторное использование подписей.
Событие блокировки контракта Akutar
23 апреля проект Akutar из-за уязвимости в смарт-контракте привел к тому, что 11539 ETH на сумму 34 миллиона долларов США были навсегда заблокированы в контракте. Основная причина — дефект логики функции возврата.
Атака на платформу кредитования XCarnival
24 июня протокол кредитования NFT XCarnival был атакован хакерами, в результате чего был потерян около 3,8 миллиона долларов. Нападающие использовали логическую уязвимость в контракте, повторно используя недействительные записи о залоге для получения кредита.
Общие проблемы безопасности контрактов NFT
Анализируя вышеупомянутые события, мы можем обобщить несколько распространенных проблем безопасности в NFT-контрактах:
Эти вопросы указывают на то, что многие NFT-проекты игнорируют комплексный анализ безопасности в процессе разработки и развертывания контрактов. Чтобы снизить риски безопасности, команды NFT-проектов должны уделять внимание аудиту контрактов, нанимая профессиональные команды безопасности для комплексной оценки и устранения уязвимостей. В то же время пользователи, участвуя в NFT-проектах, также должны проявлять бдительность и заботиться о безопасности своих активов.