Аналіз проблем безпеки контрактів NFT та роз'яснення поширених ризиків
У першій половині 2022 року в сфері NFT часто відбувалися інциденти безпеки, що призвело до значних економічних втрат. За даними моніторингу однієї з платформ безпеки блокчейну, в цей період сталося 10 значних інцидентів безпеки NFT, загальні втрати склали близько 6490 мільйонів доларів. Основними методами атак були експлуатація вразливостей у контрактах, витік приватних ключів та фішинг тощо. Варто зазначити, що фішингові атаки на платформі Discord були особливо поширені, майже щодня сервери піддавалися атакам, що призводило до втрат активів користувачів.
Огляд типових безпекових інцидентів
Подія ### TreasureDAO
3 березня платформа обміну TreasureDAO зазнала хакерської атаки, в результаті якої було вкрадено понад 100 NFT. Причиною інциденту стала логічна вразливість у контракті, змішання токенів ERC-1155 та ERC-721 призвело до обчислювальної помилки, що дозволило зловмисникам купувати NFT безкоштовно.
Уразливість APE Coin для аеродропу
17 березня хакер використав флеш-кредити, щоб отримати понад 60 000 монет APE в аерозолі. Уразливість полягала в тому, що контракт аерозолю перевіряв лише миттєве право власності викликувача на NFT, не враховуючи можливі наслідки флеш-кредиту.
Revest Finance зазнала атаки повторного входу
27 березня проект Revest Finance зазнав збитків у 120 тисяч доларів. Зловмисники використали вразливість повторного входу в стандарті ERC-1155, щоб здійснити повторний вхід під час процесу випуску FNFT.
Вразливість підпису проекту НБА
21 квітня проєктів NFT, пов'язаних з НБА, зазнали атаки. Проблема полягала в механізмі перевірки білих списків, що містить два основних уразливості: підробка підписів і повторне використання.
Подія блокування контракту Akutar
23 квітня проект Akutar через вразливість у смарт-контракті призвів до того, що 11539 ETH вартістю 34 мільйони доларів США були назавжди заблоковані в контракті. Основна причина – недолік у логіці функції повернення.
Напад на платформу позик XCarnival
24 червня протокол NFT-кредитування XCarnival зазнав атаки хакерів, внаслідок якої було втрачено близько 3,8 мільйона доларів. Зловмисники використали логічну уразливість у контракті, повторно використовуючи недійсні записи про заставу для кредитування.
Загальні проблеми безпеки контрактів NFT
Аналізуючи наведену вище подію, ми можемо підсумувати кілька поширених проблем безпеки в контрактах NFT:
Недолік механізму підпису: включає проблеми повторного використання підпису та підробки.
Вади логічного проектування: такі як неналежні обмеження на карбування, дефекти в логіці аукціону тощо.
Проблеми реалізації стандартів ERC721/ERC1155: особливо ризик атаки повторного входу.
Надмірне надання повноважень: надмірний обсяг повноважень, наданих користувачем, збільшує ризик крадіжки активів.
Маніпуляція цінами: механізм ціноутворення NFT може бути використаний зловмисно.
Ці проблеми відображають те, що багато NFT-проєктів ігнорують комплексний аудит безпеки під час розробки та впровадження контрактів. Щоб зменшити ризики безпеки, команди NFT-проєктів повинні приділяти увагу аудитам контрактів, наймаючи професійні команди безпеки для всебічної оцінки та виправлення вразливостей. Одночасно, користувачі, беручи участь у NFT-проєктах, також повинні бути уважними та дбати про безпеку своїх активів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 лайків
Нагородити
15
6
Поділіться
Прокоментувати
0/400
WalletWhisperer
· 07-08 19:25
знову обдурювали людей, як лохів~
Переглянути оригіналвідповісти на0
AirDropMissed
· 07-08 16:14
І рибалю, і краду. Відчуваю, що лише мій акаунт у безпеці.
Переглянути оригіналвідповісти на0
GateUser-bd883c58
· 07-08 16:14
невдахи знову обдурюють людей, як лохів
Переглянути оригіналвідповісти на0
CommunityLurker
· 07-08 16:13
невдахи взаємно обдурюють людей, як лохів..... бажання вижити у користувачів справді високе
Аналіз шести основних ризиків безпеки NFT-контрактів: часті інциденти призвели до збитків близько 6500 мільйонів доларів США
Аналіз проблем безпеки контрактів NFT та роз'яснення поширених ризиків
У першій половині 2022 року в сфері NFT часто відбувалися інциденти безпеки, що призвело до значних економічних втрат. За даними моніторингу однієї з платформ безпеки блокчейну, в цей період сталося 10 значних інцидентів безпеки NFT, загальні втрати склали близько 6490 мільйонів доларів. Основними методами атак були експлуатація вразливостей у контрактах, витік приватних ключів та фішинг тощо. Варто зазначити, що фішингові атаки на платформі Discord були особливо поширені, майже щодня сервери піддавалися атакам, що призводило до втрат активів користувачів.
Огляд типових безпекових інцидентів
Подія ### TreasureDAO
3 березня платформа обміну TreasureDAO зазнала хакерської атаки, в результаті якої було вкрадено понад 100 NFT. Причиною інциденту стала логічна вразливість у контракті, змішання токенів ERC-1155 та ERC-721 призвело до обчислювальної помилки, що дозволило зловмисникам купувати NFT безкоштовно.
Уразливість APE Coin для аеродропу
17 березня хакер використав флеш-кредити, щоб отримати понад 60 000 монет APE в аерозолі. Уразливість полягала в тому, що контракт аерозолю перевіряв лише миттєве право власності викликувача на NFT, не враховуючи можливі наслідки флеш-кредиту.
Revest Finance зазнала атаки повторного входу
27 березня проект Revest Finance зазнав збитків у 120 тисяч доларів. Зловмисники використали вразливість повторного входу в стандарті ERC-1155, щоб здійснити повторний вхід під час процесу випуску FNFT.
Вразливість підпису проекту НБА
21 квітня проєктів NFT, пов'язаних з НБА, зазнали атаки. Проблема полягала в механізмі перевірки білих списків, що містить два основних уразливості: підробка підписів і повторне використання.
Подія блокування контракту Akutar
23 квітня проект Akutar через вразливість у смарт-контракті призвів до того, що 11539 ETH вартістю 34 мільйони доларів США були назавжди заблоковані в контракті. Основна причина – недолік у логіці функції повернення.
Напад на платформу позик XCarnival
24 червня протокол NFT-кредитування XCarnival зазнав атаки хакерів, внаслідок якої було втрачено близько 3,8 мільйона доларів. Зловмисники використали логічну уразливість у контракті, повторно використовуючи недійсні записи про заставу для кредитування.
Загальні проблеми безпеки контрактів NFT
Аналізуючи наведену вище подію, ми можемо підсумувати кілька поширених проблем безпеки в контрактах NFT:
Ці проблеми відображають те, що багато NFT-проєктів ігнорують комплексний аудит безпеки під час розробки та впровадження контрактів. Щоб зменшити ризики безпеки, команди NFT-проєктів повинні приділяти увагу аудитам контрактів, наймаючи професійні команди безпеки для всебічної оцінки та виправлення вразливостей. Одночасно, користувачі, беручи участь у NFT-проєктах, також повинні бути уважними та дбати про безпеку своїх активів.