NFT Sözleşmeleri Güvenlik Sorunları Analizi ve Yaygın Tehlikelerin Açıklaması
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sık sık yaşandı ve büyük ekonomik kayıplara neden oldu. Bir blockchain güvenlik platformunun izlemelerine göre, bu süre zarfında toplamda 10 önemli NFT güvenlik olayı meydana geldi ve toplamda yaklaşık 6490 milyon dolar kayıp yaşandı. Ana saldırı yöntemleri arasında sözleşme açıklarının kullanılması, özel anahtar sızıntıları ve kimlik avı gibi yöntemler yer alıyor. Dikkate değer olan, Discord platformundaki kimlik avı saldırılarının özellikle yaygın olması, neredeyse her gün sunucuların saldırıya uğraması ve kullanıcı varlıklarının kaybına yol açması.
Tipik Güvenlik Olayları Gözden Geçirme
TreasureDAO olayı
3 Mart'ta, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Olayın kaynağı, sözleşmede bulunan mantık açığıydı; ERC-1155 ve ERC-721 tokenlarının karışık kullanımı hesaplama hatalarına yol açtı ve bu da saldırganların NFT'leri sıfır maliyetle satın almasına olanak tanıdı.
APE Coin airdrop açığı
17 Mart'ta, hackerlar bir flash loan kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, airdrop sözleşmesinin yalnızca çağrıcının NFT üzerindeki anlık mülkiyetini kontrol etmesinden kaynaklanıyordu; flash loan'ın olası etkilerini dikkate almadı.
Revest Finance yeniden giriş saldırısına uğradı
27 Mart'ta, Revest Finance projesi 120.000 dolar kaybetti. Saldırganlar, FNFT basım sürecinde ERC-1155 standardındaki yeniden giriş açığını kullanarak yeniden giriş saldırısı gerçekleştirdi.
NBA projesi imza açığı
21 Nisan'da, NBA ile ilgili NFT projeleri saldırıya uğradı. Sorun, beyaz liste doğrulama mekanizmasında, imza sahteciliği ve yeniden kullanımı olmak üzere iki ana açığın bulunmasındadır.
Akutar sözleşme kilitleme olayı
23 Nisan'da, Akutar projesi bir akıllı sözleşme açığı nedeniyle 34 milyon dolar değerinde 11539 ETH'nin sözleşmede kalıcı olarak kilitlenmesine neden oldu. Ana sebep, geri ödeme fonksiyonu mantık tasarımındaki bir hatadır.
XCarnival kredi platformu saldırısı
24 Haziran'da, NFT kredi protokolü XCarnival bir hacker tarafından saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybedildi. Saldırgan, sözleşmedeki mantık açığını kullanarak geçersiz teminat kayıtlarını tekrar tekrar kullanarak kredi aldı.
NFT Sözleşmeleri İçin Yaygın Güvenlik Tehditleri
Yukarıdaki olayların analizi sayesinde, NFT sözleşmelerinde yaygın olarak karşılaşılan birkaç güvenlik sorununu özetleyebiliriz:
İmza mekanizması hatası: İmza tekrar kullanımı ve kötüye kullanma sorunlarını içerir.
Mantık tasarım hataları: Örneğin, madeni para basım kısıtlamalarının yetersiz olması, açık artırma mantık hataları vb.
ERC721/ERC1155 standart uygulama sorunları: özellikle yeniden giriş saldırısı riski.
Aşırı yetkilendirme: Kullanıcının yetki alanı çok geniş, varlıkların çalınma riskini artırır.
Fiyat Manipülasyonu: NFT fiyatlandırma mekanizması kötü niyetli bir şekilde istismar edilebilir.
Bu sorunlar, birçok NFT projesinin sözleşme geliştirme ve dağıtım sürecinde kapsamlı bir güvenlik denetimini göz ardı ettiğini göstermektedir. Güvenlik risklerini azaltmak için, NFT proje sahipleri sözleşme denetimi çalışmalarına önem vermeli, profesyonel güvenlik ekipleri ile kapsamlı değerlendirme ve zafiyet onarımları yaptırmalıdır. Aynı zamanda, kullanıcılar NFT projelerine katılırken dikkatli olmalı ve kişisel varlık güvenliğini korumaya özen göstermelidir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
15 Likes
Reward
15
6
Share
Comment
0/400
WalletWhisperer
· 07-08 19:25
又被insanları enayi yerine koymak的流血了~
View OriginalReply0
AirDropMissed
· 07-08 16:14
Hem avlıyorum hem de çalıyorum, hesabımın güvenli olduğunu düşünüyorum.
View OriginalReply0
GateUser-bd883c58
· 07-08 16:14
enayiler yine insanları enayi yerine koymakla karşılaştı
View OriginalReply0
CommunityLurker
· 07-08 16:13
enayiler birbirini kesiyor..... kullanıcıların hayatta kalma isteği gerçekten yüksek
View OriginalReply0
SignatureDenied
· 07-08 16:12
Bu kayıp önemli olarak mı adlandırılabilir?
View OriginalReply0
BlockImposter
· 07-08 16:10
Emiciler Tarafından Oyuna Getirilmek yöntemleri gelişti.
NFT sözleşmelerindeki altı büyük güvenlik açığı analizi: Sık yaşanan olaylar yaklaşık 65 milyon dolar kayba neden oldu.
NFT Sözleşmeleri Güvenlik Sorunları Analizi ve Yaygın Tehlikelerin Açıklaması
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sık sık yaşandı ve büyük ekonomik kayıplara neden oldu. Bir blockchain güvenlik platformunun izlemelerine göre, bu süre zarfında toplamda 10 önemli NFT güvenlik olayı meydana geldi ve toplamda yaklaşık 6490 milyon dolar kayıp yaşandı. Ana saldırı yöntemleri arasında sözleşme açıklarının kullanılması, özel anahtar sızıntıları ve kimlik avı gibi yöntemler yer alıyor. Dikkate değer olan, Discord platformundaki kimlik avı saldırılarının özellikle yaygın olması, neredeyse her gün sunucuların saldırıya uğraması ve kullanıcı varlıklarının kaybına yol açması.
Tipik Güvenlik Olayları Gözden Geçirme
TreasureDAO olayı
3 Mart'ta, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Olayın kaynağı, sözleşmede bulunan mantık açığıydı; ERC-1155 ve ERC-721 tokenlarının karışık kullanımı hesaplama hatalarına yol açtı ve bu da saldırganların NFT'leri sıfır maliyetle satın almasına olanak tanıdı.
APE Coin airdrop açığı
17 Mart'ta, hackerlar bir flash loan kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, airdrop sözleşmesinin yalnızca çağrıcının NFT üzerindeki anlık mülkiyetini kontrol etmesinden kaynaklanıyordu; flash loan'ın olası etkilerini dikkate almadı.
Revest Finance yeniden giriş saldırısına uğradı
27 Mart'ta, Revest Finance projesi 120.000 dolar kaybetti. Saldırganlar, FNFT basım sürecinde ERC-1155 standardındaki yeniden giriş açığını kullanarak yeniden giriş saldırısı gerçekleştirdi.
NBA projesi imza açığı
21 Nisan'da, NBA ile ilgili NFT projeleri saldırıya uğradı. Sorun, beyaz liste doğrulama mekanizmasında, imza sahteciliği ve yeniden kullanımı olmak üzere iki ana açığın bulunmasındadır.
Akutar sözleşme kilitleme olayı
23 Nisan'da, Akutar projesi bir akıllı sözleşme açığı nedeniyle 34 milyon dolar değerinde 11539 ETH'nin sözleşmede kalıcı olarak kilitlenmesine neden oldu. Ana sebep, geri ödeme fonksiyonu mantık tasarımındaki bir hatadır.
XCarnival kredi platformu saldırısı
24 Haziran'da, NFT kredi protokolü XCarnival bir hacker tarafından saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybedildi. Saldırgan, sözleşmedeki mantık açığını kullanarak geçersiz teminat kayıtlarını tekrar tekrar kullanarak kredi aldı.
NFT Sözleşmeleri İçin Yaygın Güvenlik Tehditleri
Yukarıdaki olayların analizi sayesinde, NFT sözleşmelerinde yaygın olarak karşılaşılan birkaç güvenlik sorununu özetleyebiliriz:
Bu sorunlar, birçok NFT projesinin sözleşme geliştirme ve dağıtım sürecinde kapsamlı bir güvenlik denetimini göz ardı ettiğini göstermektedir. Güvenlik risklerini azaltmak için, NFT proje sahipleri sözleşme denetimi çalışmalarına önem vermeli, profesyonel güvenlik ekipleri ile kapsamlı değerlendirme ve zafiyet onarımları yaptırmalıdır. Aynı zamanda, kullanıcılar NFT projelerine katılırken dikkatli olmalı ve kişisel varlık güvenliğini korumaya özen göstermelidir.