NFT Sözleşme Güvenliği: 2022 Yılı İlk Yarısında Olayların Gözden Geçirilmesi ve Yaygın Sorun Analizi
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve büyük ekonomik kayıplara neden oldu. Veri platformu izlemelerine göre, toplamda 10 ana güvenlik olayı gerçekleşti ve yaklaşık 64.90 milyon dolar kayıp yaşandı. Saldırı yöntemleri arasında sözleşme açıklarının kullanılması, özel anahtarların sızdırılması ve oltalama gibi yöntemler yer alıyor. Dikkate değer bir nokta ise, Discord oltalama olaylarının neredeyse her gün meydana gelmesi ve bireysel kullanıcıların sık sık kayıplar yaşamasıdır.
Tipik Güvenlik Olayları Gözden Geçirme
TreasureDAO olayı
3 Mart'ta, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Açık, TreasureMarketplaceBuyer sözleşmesindeki mantık hatasından kaynaklanıyordu, token türünü kontrol etmeden fiyat hesaplandığı için NFT'ler sıfır maliyetle satın alınabiliyordu. Bu olay, ERC-1155 ve ERC-721 tokenlerinin karışık kullanımının getirdiği mantıksal riskleri ortaya çıkardı.
APE Coin havai olayı
17 Mart'ta, bir hacker flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u aldı. AirdropGrapesToken airdrop sözleşmesinin açığı, NFT mülkiyetini yalnızca anlık bakiye ile belirlemesi nedeniyle, saldırganların NFT'yi ödünç alarak anında airdrop'u elde etmelerine olanak tanıdı.
Revest Finance olayı
27 Mart'ta, Revest Finance saldırıya uğradı ve 120,000 dolar kaybetti. Açık, ERC-1155 yeniden giriş saldırısında bulunuyordu, sözleşme yeni FNFT'ler basılırken yeterince kontrol edilmediği için yeniden giriş açığı oluştu.
NBA koyun yününü alma olayı
21 Nisan'da, NBA projesi saldırıya uğradı. The_Association_Sales sözleşmesinde beyaz liste doğrulaması sırasında imza taklidi ve yeniden kullanma sorunları vardı, kullanılmayan imzaların kaydı ve doğrulanması yapılmamıştı.
Akutar olayı
23 Nisan'da, Akutar projesinin AkuAuction sözleşmesindeki bir güvenlik açığı 11,5 bin ETH'nin (yaklaşık 34 milyon dolar) kilitlenmesine neden oldu. Ana sorunlar arasında iade fonksiyonunun kötü niyetli bir şekilde kesilebilmesi ve kullanıcıların birden fazla teklif vermesi durumunu dikkate almadan iadenin kalıcı olarak başarısız olması yer alıyor.
XCarnival olayı
24 Haziran'da, XCarnival saldırıya uğradı ve 3087 ETH (yaklaşık 3.8 milyon dolar) kaybetti. XNFT sözleşmesi, NFT'leri teminat gösterirken xToken adresini beyaz liste kontrolünden geçirmedi ve borç verme sırasında teminat kayıt durumunu kontrol etmedi, bu da saldırganların geçersiz teminat kayıtlarını tekrar tekrar kullanarak borç almasına olanak tanıdı.
NFT Sözleşme Denetimi Sıkça Sorulan Sorular
İmza kötüye kullanımı ve tekrar kullanımı:
Kullanıcı nonce'u gibi tekrarlayan yürütme doğrulaması eksik
İmza kontrolü mantıksız, sıfır adres durumu kontrol edilmemişse.
Mantık Açığı:
Yöneticinin madeni paraları basması toplam miktar sınırını aşabilir
Müzayede sürecinde işlem sırası bağımlılığı saldırı riski bulunmaktadır
ERC721/ERC1155 yeniden giriş saldırısı:
Transfer bildirim işlevi, yeniden giriş saldırılarına neden olabilir.
Yetki alanı çok geniş:
Aşırı yetki talep etmek, NFT çalınma riskini artırır
Fiyat Manipülasyonu:
NFT fiyatı dış sözleşmelere bağlıdır, ani kredi manipülasyonuna maruz kalabilir.
Bu yaygın sorunlar ve gerçekleşen güvenlik olayları göz önüne alındığında, NFT sözleşmelerinin profesyonel bir güvenlik denetiminden geçirilmesi son derece önemlidir. Proje ekipleri, sözleşme güvenliğine önem vermeli ve potansiyel riskleri azaltmak için kapsamlı koruma önlemleri almalıdır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
18 Likes
Reward
18
8
Share
Comment
0/400
WhaleWatcher
· 13h ago
Özel Anahtar yine patladı, kim artık riske girebilir ki?
View OriginalReply0
RetailTherapist
· 07-20 22:36
insanları enayi yerine koymak insanları enayi yerine koymak insanları enayi yerine koymak 还不如去抄作业买买买
View OriginalReply0
GreenCandleCollector
· 07-20 07:14
Yine kripto dünyası enayiler insanları enayi yerine koymak büyük gösterisi
View OriginalReply0
GateUser-c802f0e8
· 07-19 15:27
Sözleşme tam bir açıklar yumağı, bir gün dibe vuracak.
View OriginalReply0
shadowy_supercoder
· 07-19 15:12
Sözleşme denetimi geçmezse, kaybetmeyi hak edersin.
View OriginalReply0
GateUser-beba108d
· 07-19 15:12
Yine bir proje açığı bulundu. Bu devirde gerçekten satın almak kaybetmek demektir.
View OriginalReply0
MetaNeighbor
· 07-19 15:12
Bu yönetim sözleşmelerini yapan insanlar en azından programlama öğrenmişler mi?
NFT sözleşmelerindeki güvenlik açıkları sıkça meydana geliyor. İlk yarıda 6490 milyon dolarlık kayıp.
NFT Sözleşme Güvenliği: 2022 Yılı İlk Yarısında Olayların Gözden Geçirilmesi ve Yaygın Sorun Analizi
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve büyük ekonomik kayıplara neden oldu. Veri platformu izlemelerine göre, toplamda 10 ana güvenlik olayı gerçekleşti ve yaklaşık 64.90 milyon dolar kayıp yaşandı. Saldırı yöntemleri arasında sözleşme açıklarının kullanılması, özel anahtarların sızdırılması ve oltalama gibi yöntemler yer alıyor. Dikkate değer bir nokta ise, Discord oltalama olaylarının neredeyse her gün meydana gelmesi ve bireysel kullanıcıların sık sık kayıplar yaşamasıdır.
Tipik Güvenlik Olayları Gözden Geçirme
TreasureDAO olayı
3 Mart'ta, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Açık, TreasureMarketplaceBuyer sözleşmesindeki mantık hatasından kaynaklanıyordu, token türünü kontrol etmeden fiyat hesaplandığı için NFT'ler sıfır maliyetle satın alınabiliyordu. Bu olay, ERC-1155 ve ERC-721 tokenlerinin karışık kullanımının getirdiği mantıksal riskleri ortaya çıkardı.
APE Coin havai olayı
17 Mart'ta, bir hacker flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u aldı. AirdropGrapesToken airdrop sözleşmesinin açığı, NFT mülkiyetini yalnızca anlık bakiye ile belirlemesi nedeniyle, saldırganların NFT'yi ödünç alarak anında airdrop'u elde etmelerine olanak tanıdı.
Revest Finance olayı
27 Mart'ta, Revest Finance saldırıya uğradı ve 120,000 dolar kaybetti. Açık, ERC-1155 yeniden giriş saldırısında bulunuyordu, sözleşme yeni FNFT'ler basılırken yeterince kontrol edilmediği için yeniden giriş açığı oluştu.
NBA koyun yününü alma olayı
21 Nisan'da, NBA projesi saldırıya uğradı. The_Association_Sales sözleşmesinde beyaz liste doğrulaması sırasında imza taklidi ve yeniden kullanma sorunları vardı, kullanılmayan imzaların kaydı ve doğrulanması yapılmamıştı.
Akutar olayı
23 Nisan'da, Akutar projesinin AkuAuction sözleşmesindeki bir güvenlik açığı 11,5 bin ETH'nin (yaklaşık 34 milyon dolar) kilitlenmesine neden oldu. Ana sorunlar arasında iade fonksiyonunun kötü niyetli bir şekilde kesilebilmesi ve kullanıcıların birden fazla teklif vermesi durumunu dikkate almadan iadenin kalıcı olarak başarısız olması yer alıyor.
XCarnival olayı
24 Haziran'da, XCarnival saldırıya uğradı ve 3087 ETH (yaklaşık 3.8 milyon dolar) kaybetti. XNFT sözleşmesi, NFT'leri teminat gösterirken xToken adresini beyaz liste kontrolünden geçirmedi ve borç verme sırasında teminat kayıt durumunu kontrol etmedi, bu da saldırganların geçersiz teminat kayıtlarını tekrar tekrar kullanarak borç almasına olanak tanıdı.
NFT Sözleşme Denetimi Sıkça Sorulan Sorular
İmza kötüye kullanımı ve tekrar kullanımı:
Mantık Açığı:
ERC721/ERC1155 yeniden giriş saldırısı:
Yetki alanı çok geniş:
Fiyat Manipülasyonu:
Bu yaygın sorunlar ve gerçekleşen güvenlik olayları göz önüne alındığında, NFT sözleşmelerinin profesyonel bir güvenlik denetiminden geçirilmesi son derece önemlidir. Proje ekipleri, sözleşme güvenliğine önem vermeli ve potansiyel riskleri azaltmak için kapsamlı koruma önlemleri almalıdır.