Безопасность NFT-контрактов: Обзор событий первой половины 2022 года и анализ распространенных вопросов
В первой половине 2022 года в области NFT часто происходили инциденты безопасности, что привело к значительным экономическим потерям. Согласно данным платформы мониторинга, произошло 10 основных инцидентов безопасности с общими убытками около 64,9 миллиона долларов. Основные методы атак включали использование уязвимостей контрактов, утечку приватных ключей и фишинг. Следует отметить, что инциденты фишинга в Discord происходят почти каждый день, что приводит к частым потерям среди индивидуальных пользователей.
Обзор типичных инцидентов безопасности
Событие TreasureDAO
3 марта платформа обмена TreasureDAO подверглась хакерской атаке, в результате которой было украдено более 100 NFT. Уязвимость возникла из-за логической ошибки в контракте TreasureMarketplaceBuyer, который не проверял тип токена перед расчетом цены, что позволило приобрести NFT без затрат. Этот инцидент выявил логические риски, связанные с смешением токенов ERC-1155 и ERC-721.
Событие аирдропа APE Coin
17 марта хакеры получили более 60 000 APE Coin через флеш-займы. Уязвимость контракта AirdropGrapesToken заключается в том, что право собственности на NFT определяется только по мгновенному балансу, что позволяет злоумышленникам одолжить NFT и мгновенно получить аирдроп.
Событие Revest Finance
27 марта Revest Finance подвергся атаке, потеряв 120 000 долларов США. Уязвимость заключалась в повторном входе ERC-1155, контракт не проводил достаточную проверку при создании новых FNFT, что привело к уязвимости повторного входа.
NBA хайп-скандал
21 апреля проект NBA подвергся атаке. В контракте The_Association_Sales при проверке в белом списке были проблемы с подделкой и повторным использованием подписей, не велась запись и проверка уже использованных подписей.
Акутар事件
23 апреля, у проекта Akutar в контракте AkuAuction произошла уязвимость, в результате которой было заблокировано 11,5 тыс. ETH (примерно 34 млн долларов). Основные проблемы включают возможность злонамеренного прерывания функции возврата средств, а также отсутствие учета ситуации с многократными ставками пользователей, что приводит к постоянному провалу возврата средств.
Событие XCarnival
24 июня XCarnival подвергся атаке, потеряв 3087 ETH (около 3,8 миллиона долларов). Контракт XNFT не проверял адрес xToken в белом списке при ставке NFT и не проверял статус записи залога при кредитовании, что позволяло злоумышленнику повторно использовать недействительные записи залога для получения кредита.
Часто задаваемые вопросы по аудиту NFT-контрактов
Подделка и повторное использование подписи:
Отсутствует проверка на повторное выполнение, например, nonce пользователя
Проверка подписи неадекватна, если не проверяется ситуация с нулевым адресом
Логическая уязвимость:
Администраторы могут обходить лимит общего объема при создании монет.
В процессе аукциона существует риск атак с зависимостью от порядка сделок
Повторная атака ERC721/ERC1155:
Функция уведомления о переводе может привести к атаке повторного входа
Слишком широкая область полномочий:
Требуется чрезмерная авторизация, что увеличивает риск кражи NFT
Манипуляция ценами:
Цена NFT зависит от внешнего контракта и может быть манипулирована через Flash Loan
Учитывая эти распространенные проблемы и фактически произошедшие инциденты безопасности, профессиональный аудит безопасности контрактов NFT становится особенно важным. Проектные команды должны уделять внимание безопасности контрактов и принимать комплексные меры защиты, чтобы снизить потенциальные риски.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
18 Лайков
Награда
18
8
Поделиться
комментарий
0/400
WhaleWatcher
· 07-22 11:12
Закрытый ключ снова взорвался, кто еще осмелится вмешиваться?
Посмотреть ОригиналОтветить0
RetailTherapist
· 07-20 22:36
разыгрывайте людей как лохов 还不如去抄作业买买买
Посмотреть ОригиналОтветить0
GreenCandleCollector
· 07-20 07:14
Снова большая пьеса по разыгрыванию неудачников в мире криптовалют.
Посмотреть ОригиналОтветить0
GateUser-c802f0e8
· 07-19 15:27
Контракт полон дыр, рано или поздно он утонет.
Посмотреть ОригиналОтветить0
shadowy_supercoder
· 07-19 15:12
Аудит контракта не прошел, не стоит ожидать прибыли.
Посмотреть ОригиналОтветить0
GateUser-beba108d
· 07-19 15:12
Снова обнаружены уязвимости в проекте. В наши дни, если вы решитесь купить, вы уже проиграли.
Посмотреть ОригиналОтветить0
MetaNeighbor
· 07-19 15:12
Эти люди, управляющие контрактами, хотя бы учили программирование?
Частые проблемы с безопасностью NFT-контрактов. В первой половине года убытки составили 64,9 миллиона долларов.
Безопасность NFT-контрактов: Обзор событий первой половины 2022 года и анализ распространенных вопросов
В первой половине 2022 года в области NFT часто происходили инциденты безопасности, что привело к значительным экономическим потерям. Согласно данным платформы мониторинга, произошло 10 основных инцидентов безопасности с общими убытками около 64,9 миллиона долларов. Основные методы атак включали использование уязвимостей контрактов, утечку приватных ключей и фишинг. Следует отметить, что инциденты фишинга в Discord происходят почти каждый день, что приводит к частым потерям среди индивидуальных пользователей.
Обзор типичных инцидентов безопасности
Событие TreasureDAO
3 марта платформа обмена TreasureDAO подверглась хакерской атаке, в результате которой было украдено более 100 NFT. Уязвимость возникла из-за логической ошибки в контракте TreasureMarketplaceBuyer, который не проверял тип токена перед расчетом цены, что позволило приобрести NFT без затрат. Этот инцидент выявил логические риски, связанные с смешением токенов ERC-1155 и ERC-721.
Событие аирдропа APE Coin
17 марта хакеры получили более 60 000 APE Coin через флеш-займы. Уязвимость контракта AirdropGrapesToken заключается в том, что право собственности на NFT определяется только по мгновенному балансу, что позволяет злоумышленникам одолжить NFT и мгновенно получить аирдроп.
Событие Revest Finance
27 марта Revest Finance подвергся атаке, потеряв 120 000 долларов США. Уязвимость заключалась в повторном входе ERC-1155, контракт не проводил достаточную проверку при создании новых FNFT, что привело к уязвимости повторного входа.
NBA хайп-скандал
21 апреля проект NBA подвергся атаке. В контракте The_Association_Sales при проверке в белом списке были проблемы с подделкой и повторным использованием подписей, не велась запись и проверка уже использованных подписей.
Акутар事件
23 апреля, у проекта Akutar в контракте AkuAuction произошла уязвимость, в результате которой было заблокировано 11,5 тыс. ETH (примерно 34 млн долларов). Основные проблемы включают возможность злонамеренного прерывания функции возврата средств, а также отсутствие учета ситуации с многократными ставками пользователей, что приводит к постоянному провалу возврата средств.
Событие XCarnival
24 июня XCarnival подвергся атаке, потеряв 3087 ETH (около 3,8 миллиона долларов). Контракт XNFT не проверял адрес xToken в белом списке при ставке NFT и не проверял статус записи залога при кредитовании, что позволяло злоумышленнику повторно использовать недействительные записи залога для получения кредита.
Часто задаваемые вопросы по аудиту NFT-контрактов
Подделка и повторное использование подписи:
Логическая уязвимость:
Повторная атака ERC721/ERC1155:
Слишком широкая область полномочий:
Манипуляция ценами:
Учитывая эти распространенные проблемы и фактически произошедшие инциденты безопасности, профессиональный аудит безопасности контрактов NFT становится особенно важным. Проектные команды должны уделять внимание безопасности контрактов и принимать комплексные меры защиты, чтобы снизить потенциальные риски.