Безпека NFT-контрактів: аналіз подій першої половини 2022 року та обговорення поширених питань
У першій половині 2022 року у сфері NFT часто траплялися інциденти безпеки, що призвели до величезних втрат. У цій статті буде проведено глибокий аналіз безпекової ситуації з NFT-контрактами за цей період, обговорено типові випадки та поширені проблеми.
Огляд подій безпеки NFT за перше півріччя
Згідно з даними моніторингу безпеки блокчейну, у першій половині 2022 року сталося 10 значних інцидентів безпеки NFT, з загальними збитками приблизно 64,9 мільйона доларів США. Основними способами атак були експлуатація вразливостей контрактів, витік приватних ключів та фішинг. Варто зазначити, що фішинг-атаки на платформі Discord були особливо розповсюджені, майже щодня користувачі зазнають збитків через це.
Аналіз типових інцидентів безпеки
Подія ### TreasureDAO
3 березня 2022 року платформа торгівлі TreasureDAO зазнала атаки хакерів, внаслідок чого було вкрадено понад 100 NFT.
Причина вразливості: плутанина в логіці контракту. Функція buyItem контракту TreasureMarketplaceBuyer не перевіряє тип токена, що призводить до можливості купівлі NFT за умови, що сума платежу в ERC-20 токенах дорівнює 0. Це сталося через змішування токенів ERC-1155 та ERC-721, оскільки для ERC-721, які не мають концепції кількості, не було застосовано спеціальних обробок.
подія аерозолю APE Coin
17 березня 2022 року, хакери отримали понад 60 тисяч APE Coin через флеш-кредит.
Причина вразливості: логічний дефект контракту. Контракт на аеродроп лише через balanceOf() визначає право власності користувача на NFT, а це може отримати лише миттєвий стан, що може бути маніпульовано за допомогою闪电贷.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнав хакерської атаки, внаслідок якої було втрачено 120 000 доларів.
Причина уразливості: атака повторного входу ERC-1155. У контракті Revest існує уразливість повторного входу під час додавання FNFT забезпечення, що виникає через зовнішній виклик у функції випуску.
NBA махінації
21 квітня 2022 року проект NBA зазнав хакерської атаки.
Причина вразливості: дефект перевірки підпису. У контракті The_Association_Sales існують проблеми з підробкою та повторним використанням підписів під час перевірки в білому списку.
Подія Akutar
23 квітня 2022 року, внаслідок вразливості контракту AkuAuction проєкту Akutar, було заблоковано 11 000 ETH.
Причина вразливості: дефект логіки повернення коштів. Функція повернення коштів має ризик бути зламаною зловмисно, а також не враховує ситуацію, коли користувач робить кілька ставок, що призводить до неможливості виконання повернення.
Подія XCarnival
24 червня 2022 року, XCarnival зазнав атак і втратив 3,8 мільйона доларів.
Причина вразливості: недостатня перевірка записів про заставу. Контракт XNFT не провів належну перевірку під час застави та кредитування, що призвело до можливості повторного використання недійсних записів застави.
Загальні проблеми безпеки контрактів NFT
Проблема перевірки підпису: відсутність повторного виконання перевірки, перевірка підпису не є строгою.
Логічна уразливість: неналежні обмеження на карбування, наявність вразливостей у процесі аукціону.
Атака повторного входу ERC721/ERC1155: функція сповіщення про переказ може призвести до повторного входу.
Надмірна авторизація: вимога глобальної авторизації, хоча насправді потрібна лише авторизація одного токена.
Маніпулювання цінами: ціна залежить від факторів, які можуть бути маніпульовані за допомогою миттєвих кредитів.
Отже, питання безпеки контрактів NFT є складними та різноманітними, тому професійний аудит є особливо важливим. Проектні команди повинні приділяти увагу безпеці контрактів, всебічно оцінювати потенційні ризики та забезпечувати безпеку активів користувачів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
22 лайків
Нагородити
22
7
Поділіться
Прокоментувати
0/400
BackrowObserver
· 07-05 13:17
Ці невдахи обдурюють людей, як лохів.
Переглянути оригіналвідповісти на0
TokenVelocityTrauma
· 07-05 09:51
знову обдурювати людей, як лохів одну партію невдахів
Переглянути оригіналвідповісти на0
SmartContractRebel
· 07-02 15:48
Цей контракт не перевіряється? Прокиньтеся!
Переглянути оригіналвідповісти на0
metaverse_hermit
· 07-02 15:41
Скільки вкрадено? Дивлюсь на голодного.
Переглянути оригіналвідповісти на0
MetaverseLandlord
· 07-02 15:41
Справді смачно. Невдахи ласкаво просимо обдурювати людей, як лохів~
Аналіз безпеки NFT-контрактів: типові події та поширені вразливості за перше півріччя 2022 року
Безпека NFT-контрактів: аналіз подій першої половини 2022 року та обговорення поширених питань
У першій половині 2022 року у сфері NFT часто траплялися інциденти безпеки, що призвели до величезних втрат. У цій статті буде проведено глибокий аналіз безпекової ситуації з NFT-контрактами за цей період, обговорено типові випадки та поширені проблеми.
Огляд подій безпеки NFT за перше півріччя
Згідно з даними моніторингу безпеки блокчейну, у першій половині 2022 року сталося 10 значних інцидентів безпеки NFT, з загальними збитками приблизно 64,9 мільйона доларів США. Основними способами атак були експлуатація вразливостей контрактів, витік приватних ключів та фішинг. Варто зазначити, що фішинг-атаки на платформі Discord були особливо розповсюджені, майже щодня користувачі зазнають збитків через це.
Аналіз типових інцидентів безпеки
Подія ### TreasureDAO
3 березня 2022 року платформа торгівлі TreasureDAO зазнала атаки хакерів, внаслідок чого було вкрадено понад 100 NFT.
Причина вразливості: плутанина в логіці контракту. Функція buyItem контракту TreasureMarketplaceBuyer не перевіряє тип токена, що призводить до можливості купівлі NFT за умови, що сума платежу в ERC-20 токенах дорівнює 0. Це сталося через змішування токенів ERC-1155 та ERC-721, оскільки для ERC-721, які не мають концепції кількості, не було застосовано спеціальних обробок.
подія аерозолю APE Coin
17 березня 2022 року, хакери отримали понад 60 тисяч APE Coin через флеш-кредит.
Причина вразливості: логічний дефект контракту. Контракт на аеродроп лише через balanceOf() визначає право власності користувача на NFT, а це може отримати лише миттєвий стан, що може бути маніпульовано за допомогою闪电贷.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнав хакерської атаки, внаслідок якої було втрачено 120 000 доларів.
Причина уразливості: атака повторного входу ERC-1155. У контракті Revest існує уразливість повторного входу під час додавання FNFT забезпечення, що виникає через зовнішній виклик у функції випуску.
NBA махінації
21 квітня 2022 року проект NBA зазнав хакерської атаки.
Причина вразливості: дефект перевірки підпису. У контракті The_Association_Sales існують проблеми з підробкою та повторним використанням підписів під час перевірки в білому списку.
Подія Akutar
23 квітня 2022 року, внаслідок вразливості контракту AkuAuction проєкту Akutar, було заблоковано 11 000 ETH.
Причина вразливості: дефект логіки повернення коштів. Функція повернення коштів має ризик бути зламаною зловмисно, а також не враховує ситуацію, коли користувач робить кілька ставок, що призводить до неможливості виконання повернення.
Подія XCarnival
24 червня 2022 року, XCarnival зазнав атак і втратив 3,8 мільйона доларів.
Причина вразливості: недостатня перевірка записів про заставу. Контракт XNFT не провів належну перевірку під час застави та кредитування, що призвело до можливості повторного використання недійсних записів застави.
Загальні проблеми безпеки контрактів NFT
Проблема перевірки підпису: відсутність повторного виконання перевірки, перевірка підпису не є строгою.
Логічна уразливість: неналежні обмеження на карбування, наявність вразливостей у процесі аукціону.
Атака повторного входу ERC721/ERC1155: функція сповіщення про переказ може призвести до повторного входу.
Надмірна авторизація: вимога глобальної авторизації, хоча насправді потрібна лише авторизація одного токена.
Маніпулювання цінами: ціна залежить від факторів, які можуть бути маніпульовані за допомогою миттєвих кредитів.
Отже, питання безпеки контрактів NFT є складними та різноманітними, тому професійний аудит є особливо важливим. Проектні команди повинні приділяти увагу безпеці контрактів, всебічно оцінювати потенційні ризики та забезпечувати безпеку активів користувачів.