أمان عقود NFT: مراجعة الأحداث في النصف الأول من عام 2022 وتحليل الأسئلة الشائعة
في النصف الأول من عام 2022، حدثت العديد من الحوادث الأمنية في مجال NFT، مما تسبب في خسائر اقتصادية كبيرة. وفقًا لمراقبة منصة البيانات، وقعت 10 حوادث أمنية رئيسية، بلغت الخسائر حوالي 6490 مليون دولار. تشمل طرق الهجوم بشكل رئيسي استغلال ثغرات العقود، تسرب المفاتيح الخاصة، والتصيد الاحتيالي. ومن الجدير بالذكر أن حوادث تصيد Discord تحدث تقريبًا كل يوم، مما يؤدي إلى تعرض المستخدمين الأفراد للخسائر بشكل متكرر.
مراجعة الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس، تعرضت منصة TreasureDAO للاختراق، وتم سرقة أكثر من 100 NFT. كانت الثغرة نتيجة خطأ منطقي في عقد TreasureMarketplaceBuyer، حيث لم يتم التحقق من نوع الرموز قبل حساب السعر، مما سمح بشراء NFT بتكلفة صفرية. كشفت هذه الحادثة عن المخاطر المنطقية الناتجة عن استخدام رموز ERC-1155 وERC-721 معًا.
حدث توزيع عملة APE
في 17 مارس، استغل الهاكرز ثغرة في عقد AirdropGrapesToken للحصول على أكثر من 60,000 من عملة APE Coin عبر قرض فوري. تكمن ثغرة عقد AirdropGrapesToken في الاعتماد فقط على الرصيد الفوري لتحديد ملكية NFT، مما سمح للمهاجمين بالاقتراض من NFT للحصول على الإرسال الفوري.
فعالية Revest Finance
في 27 مارس، تعرضت Revest Finance لهجوم، مما أدى إلى خسارة قدرها 120,000 دولار. كانت الثغرة موجودة في هجوم إعادة الدخول على ERC-1155، حيث لم يتم التحقق بشكل كافٍ من العقد عند صك FNFT جديدة، مما أدى إلى ثغرة إعادة الدخول.
حادثة استغلال NBA
في 21 أبريل، تعرض مشروع NBA لهجوم. كانت هناك مشكلة في انتحال الهوية وإعادة استخدام التوقيع في عقد The_Association_Sales أثناء التحقق من القائمة البيضاء، ولم يتم تسجيل أو التحقق من التوقيعات المستخدمة.
حدث أكوتار
في 23 أبريل، أدى ثغرة عقد AkuAuction لمشروع Akutar إلى قفل 11,500 ETH (حوالي 34 مليون دولار أمريكي). تشمل المشكلات الرئيسية وظيفة استرداد الأموال التي يمكن أن تتعرض للاعتراض الخبيث، بالإضافة إلى عدم مراعاة حالات تقديم العطاءات المتكررة من قبل المستخدمين مما أدى إلى فشل الاسترداد بشكل دائم.
حدث XCarnival
في 24 يونيو، تعرضت XCarnival لهجوم، حيث فقدت 3087 ETH (حوالي 3.8 مليون دولار). لم يقم عقد XNFT بالتحقق من عنوان xToken في قائمة المسموح لهم عند رهن NFT، ولم يتم التحقق من حالة سجل الرهن عند الاقتراض، مما أتاح للمهاجمين استخدام سجلات الرهن غير الصالحة بشكل متكرر للاقتراض.
أسئلة شائعة حول تدقيق عقود NFT
انتحال التوقيع وإعادة استخدامه:
نقص في التحقق من تنفيذ التكرار، مثل nonce المستخدم
فحص التوقيع غير معقول، مثل عدم فحص حالة العنوان الصفري
ثغرة منطقية:
قد يتجاوز مسؤولوا سك العملات حد الكمية الإجمالية
يوجد خطر هجمات تعتمد على ترتيب المعاملات أثناء عملية المزاد
هجوم إعادة الدخول على ERC721/ERC1155:
قد تؤدي ميزة إشعار التحويل إلى هجوم إعادة الدخول
نطاق التفويض كبير جدًا:
يتطلب تفويضًا مفرطًا، مما يزيد من خطر سرقة NFT
التلاعب بالأسعار:
سعر NFT يعتمد على العقود الخارجية، وقد يتم التلاعب به من خلال القروض الفورية
نظرًا لهذه المشكلات الشائعة والأحداث الأمنية التي حدثت بالفعل، فإن إجراء تدقيق أمني احترافي لعقود NFT يصبح أمرًا بالغ الأهمية. ينبغي على فريق المشروع أن يولي أهمية لأمان العقود، وأن يتخذ تدابير وقائية شاملة لتقليل المخاطر المحتملة.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 18
أعجبني
18
8
مشاركة
تعليق
0/400
WhaleWatcher
· منذ 13 س
المفتاح الخاص又炸惹 谁还敢梭
شاهد النسخة الأصليةرد0
RetailTherapist
· 07-20 22:36
خداع الناس لتحقيق الربح خداع الناس لتحقيق الربح خداع الناس لتحقيق الربح لا أفضل من نسخ الواجبات وشراء شراء شراء
شاهد النسخة الأصليةرد0
GreenCandleCollector
· 07-20 07:14
又是 عالم العملات الرقمية حمقى خداع الناس لتحقيق الربح 大戏
شاهد النسخة الأصليةرد0
GateUser-c802f0e8
· 07-19 15:27
العقد مليء بالثغرات، سيغرق عاجلاً أم آجلاً.
شاهد النسخة الأصليةرد0
shadowy_supercoder
· 07-19 15:12
فشل تدقيق العقد، لذا من الطبيعي أن تخسر المال.
شاهد النسخة الأصليةرد0
GateUser-beba108d
· 07-19 15:12
تم اكتشاف ثغرة جديدة في المشروع، في هذه الأيام من يجرؤ على الشراء يخسر.
شاهد النسخة الأصليةرد0
MetaNeighbor
· 07-19 15:12
هل تعلم هؤلاء الذين يديرون العقود البرمجية على الأقل البرمجة؟
تكرار المخاطر الأمنية لعقود NFT ، خسائر قدرها 6490 مليون دولار في النصف الأول من العام
أمان عقود NFT: مراجعة الأحداث في النصف الأول من عام 2022 وتحليل الأسئلة الشائعة
في النصف الأول من عام 2022، حدثت العديد من الحوادث الأمنية في مجال NFT، مما تسبب في خسائر اقتصادية كبيرة. وفقًا لمراقبة منصة البيانات، وقعت 10 حوادث أمنية رئيسية، بلغت الخسائر حوالي 6490 مليون دولار. تشمل طرق الهجوم بشكل رئيسي استغلال ثغرات العقود، تسرب المفاتيح الخاصة، والتصيد الاحتيالي. ومن الجدير بالذكر أن حوادث تصيد Discord تحدث تقريبًا كل يوم، مما يؤدي إلى تعرض المستخدمين الأفراد للخسائر بشكل متكرر.
مراجعة الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس، تعرضت منصة TreasureDAO للاختراق، وتم سرقة أكثر من 100 NFT. كانت الثغرة نتيجة خطأ منطقي في عقد TreasureMarketplaceBuyer، حيث لم يتم التحقق من نوع الرموز قبل حساب السعر، مما سمح بشراء NFT بتكلفة صفرية. كشفت هذه الحادثة عن المخاطر المنطقية الناتجة عن استخدام رموز ERC-1155 وERC-721 معًا.
حدث توزيع عملة APE
في 17 مارس، استغل الهاكرز ثغرة في عقد AirdropGrapesToken للحصول على أكثر من 60,000 من عملة APE Coin عبر قرض فوري. تكمن ثغرة عقد AirdropGrapesToken في الاعتماد فقط على الرصيد الفوري لتحديد ملكية NFT، مما سمح للمهاجمين بالاقتراض من NFT للحصول على الإرسال الفوري.
فعالية Revest Finance
في 27 مارس، تعرضت Revest Finance لهجوم، مما أدى إلى خسارة قدرها 120,000 دولار. كانت الثغرة موجودة في هجوم إعادة الدخول على ERC-1155، حيث لم يتم التحقق بشكل كافٍ من العقد عند صك FNFT جديدة، مما أدى إلى ثغرة إعادة الدخول.
حادثة استغلال NBA
في 21 أبريل، تعرض مشروع NBA لهجوم. كانت هناك مشكلة في انتحال الهوية وإعادة استخدام التوقيع في عقد The_Association_Sales أثناء التحقق من القائمة البيضاء، ولم يتم تسجيل أو التحقق من التوقيعات المستخدمة.
حدث أكوتار
في 23 أبريل، أدى ثغرة عقد AkuAuction لمشروع Akutar إلى قفل 11,500 ETH (حوالي 34 مليون دولار أمريكي). تشمل المشكلات الرئيسية وظيفة استرداد الأموال التي يمكن أن تتعرض للاعتراض الخبيث، بالإضافة إلى عدم مراعاة حالات تقديم العطاءات المتكررة من قبل المستخدمين مما أدى إلى فشل الاسترداد بشكل دائم.
حدث XCarnival
في 24 يونيو، تعرضت XCarnival لهجوم، حيث فقدت 3087 ETH (حوالي 3.8 مليون دولار). لم يقم عقد XNFT بالتحقق من عنوان xToken في قائمة المسموح لهم عند رهن NFT، ولم يتم التحقق من حالة سجل الرهن عند الاقتراض، مما أتاح للمهاجمين استخدام سجلات الرهن غير الصالحة بشكل متكرر للاقتراض.
أسئلة شائعة حول تدقيق عقود NFT
انتحال التوقيع وإعادة استخدامه:
ثغرة منطقية:
هجوم إعادة الدخول على ERC721/ERC1155:
نطاق التفويض كبير جدًا:
التلاعب بالأسعار:
نظرًا لهذه المشكلات الشائعة والأحداث الأمنية التي حدثت بالفعل، فإن إجراء تدقيق أمني احترافي لعقود NFT يصبح أمرًا بالغ الأهمية. ينبغي على فريق المشروع أن يولي أهمية لأمان العقود، وأن يتخذ تدابير وقائية شاملة لتقليل المخاطر المحتملة.