Безпека NFT-контрактів: Огляд подій першої половини 2022 року та аналіз поширених питань
У першій половині 2022 року у сфері NFT відбулося багато інцидентів безпеки, що призвели до величезних економічних втрат. За даними моніторингової платформи, сталося 10 основних інцидентів безпеки, втрата склала приблизно 64,9 мільйона доларів. Основні методи атаки включали експлуатацію вразливостей контрактів, витік приватних ключів та фішинг тощо. Варто зазначити, що інциденти фішингу в Discord відбуваються майже щодня, що призводить до частих втрат особистих користувачів.
Огляд типових інцидентів безпеки
Подія ### TreasureDAO
3 березня платформа торгівлі TreasureDAO зазнала хакерської атаки, внаслідок якої було вкрадено понад 100 NFT. Вразливість виникла через логічну помилку в контракті TreasureMarketplaceBuyer, де не було проведено перевірку типу токена перед розрахунком ціни, що дозволило купувати NFT безкоштовно. Ця подія виявила логічні ризики, пов'язані зі змішуванням токенів ERC-1155 та ERC-721.
APE Coin аероздача
17 березня хакери отримали понад 60 тисяч APE Coin через flash loan. Уразливість контракту AirdropGrapesToken полягає в тому, що він лише за миттєвим балансом визначає право власності на NFT, що дозволяє зловмисникам позичити NFT та миттєво отримати airdrop.
Захід Revest Finance
27 березня Revest Finance зазнав атаки, внаслідок якої було втрачено 120 000 доларів. Уразливість полягала в атаці повторного входу ERC-1155, контракт не перевірявся належним чином під час випуску нових FNFT, що призвело до уразливості повторного входу.
NBA витрати на овечі
21 квітня проект NBA зазнав атаки. У контракті The_Association_Sales існувала проблема підробки та повторного використання підписів під час перевірки у білому списку, не було запису та перевірки вже використаних підписів.
Подія Akutar
23 квітня у проєкті Akutar в контракті AkuAuction виникла вразливість, яка призвела до блокування 11,5 тисяч ETH (приблизно 34 мільйони доларів). Основні проблеми включають можливість зловмисного переривання функції повернення коштів, а також те, що не було враховано ситуації з багаторазовими ставками користувачів, що призвело до постійного збою повернення.
XCarnival подія
24 червня XCarnival зазнав атаки, внаслідок чого було втрачено 3087 ETH (близько 3,8 мільйона доларів). Контракт XNFT не проводив перевірку адреси xToken у білому списку під час стейкінгу NFT, а також не перевіряв статус записів застави під час позики, що дозволяло зловмисникам повторно використовувати недійсні записи застави для отримання позик.
Поширені запитання щодо аудиту контрактів NFT
Підписування від імені інших та повторне використання:
Брак повторної перевірки виконання, як-от nonce користувача
Перевірка підпису є нерозумною, якщо не перевірено ситуацію з нульовою адресою
Логічна помилка:
Адміністратори можуть обходити обмеження на загальну кількість монет
Під час аукціону існує ризик атаки, пов'язаної з залежністю від порядку транзакцій.
Атака повторного входу ERC721/ERC1155:
Функція сповіщення про переказ може призвести до атаки повторного входу
Занадто великий обсяг повноважень:
Вимога надмірного дозволу, що збільшує ризик крадіжки NFT
Маніпуляція цінами:
Ціна NFT залежить від зовнішніх контрактів і може бути маніпульована через флеш-кредити
З огляду на ці поширені проблеми та фактично відбувані інциденти безпеки, проведення професійного аудиту безпеки контрактів NFT є особливо важливим. Проектні команди повинні приділяти увагу безпеці контрактів, вживаючи комплексних заходів захисту для зниження потенційних ризиків.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
18 лайків
Нагородити
18
8
Поділіться
Прокоментувати
0/400
WhaleWatcher
· 14год тому
Закритий ключ знову вибухнув, хто ще наважиться ризикувати?
Переглянути оригіналвідповісти на0
RetailTherapist
· 07-20 22:36
обдурювати людей, як лохів обдурювати людей, як лохів ще краще йти списувати домашнє завдання купувати купувати купувати
Переглянути оригіналвідповісти на0
GreenCandleCollector
· 07-20 07:14
Знову велика вистава обдурювання людей, як лохів у криптосвіті
Переглянути оригіналвідповісти на0
GateUser-c802f0e8
· 07-19 15:27
Контракт просто повний дірок, рано чи пізно він потоне.
Переглянути оригіналвідповісти на0
shadowy_supercoder
· 07-19 15:12
Аудит контракту не пройшов, тому й заслуговуєте на збитки.
Переглянути оригіналвідповісти на0
GateUser-beba108d
· 07-19 15:12
Знову виявлено вразливість проекту. У ці часи, якщо дійсно наважуєшся купувати, то вже програв.
Переглянути оригіналвідповісти на0
MetaNeighbor
· 07-19 15:12
Ці люди, які управляють контрактами, принаймні, навчилися програмувати?
Часті випадки небезпеки безпеки NFT-контрактів, втрати в першій половині року склали 6490 мільйонів доларів.
Безпека NFT-контрактів: Огляд подій першої половини 2022 року та аналіз поширених питань
У першій половині 2022 року у сфері NFT відбулося багато інцидентів безпеки, що призвели до величезних економічних втрат. За даними моніторингової платформи, сталося 10 основних інцидентів безпеки, втрата склала приблизно 64,9 мільйона доларів. Основні методи атаки включали експлуатацію вразливостей контрактів, витік приватних ключів та фішинг тощо. Варто зазначити, що інциденти фішингу в Discord відбуваються майже щодня, що призводить до частих втрат особистих користувачів.
Огляд типових інцидентів безпеки
Подія ### TreasureDAO
3 березня платформа торгівлі TreasureDAO зазнала хакерської атаки, внаслідок якої було вкрадено понад 100 NFT. Вразливість виникла через логічну помилку в контракті TreasureMarketplaceBuyer, де не було проведено перевірку типу токена перед розрахунком ціни, що дозволило купувати NFT безкоштовно. Ця подія виявила логічні ризики, пов'язані зі змішуванням токенів ERC-1155 та ERC-721.
APE Coin аероздача
17 березня хакери отримали понад 60 тисяч APE Coin через flash loan. Уразливість контракту AirdropGrapesToken полягає в тому, що він лише за миттєвим балансом визначає право власності на NFT, що дозволяє зловмисникам позичити NFT та миттєво отримати airdrop.
Захід Revest Finance
27 березня Revest Finance зазнав атаки, внаслідок якої було втрачено 120 000 доларів. Уразливість полягала в атаці повторного входу ERC-1155, контракт не перевірявся належним чином під час випуску нових FNFT, що призвело до уразливості повторного входу.
NBA витрати на овечі
21 квітня проект NBA зазнав атаки. У контракті The_Association_Sales існувала проблема підробки та повторного використання підписів під час перевірки у білому списку, не було запису та перевірки вже використаних підписів.
Подія Akutar
23 квітня у проєкті Akutar в контракті AkuAuction виникла вразливість, яка призвела до блокування 11,5 тисяч ETH (приблизно 34 мільйони доларів). Основні проблеми включають можливість зловмисного переривання функції повернення коштів, а також те, що не було враховано ситуації з багаторазовими ставками користувачів, що призвело до постійного збою повернення.
XCarnival подія
24 червня XCarnival зазнав атаки, внаслідок чого було втрачено 3087 ETH (близько 3,8 мільйона доларів). Контракт XNFT не проводив перевірку адреси xToken у білому списку під час стейкінгу NFT, а також не перевіряв статус записів застави під час позики, що дозволяло зловмисникам повторно використовувати недійсні записи застави для отримання позик.
Поширені запитання щодо аудиту контрактів NFT
Підписування від імені інших та повторне використання:
Логічна помилка:
Атака повторного входу ERC721/ERC1155:
Занадто великий обсяг повноважень:
Маніпуляція цінами:
З огляду на ці поширені проблеми та фактично відбувані інциденти безпеки, проведення професійного аудиту безпеки контрактів NFT є особливо важливим. Проектні команди повинні приділяти увагу безпеці контрактів, вживаючи комплексних заходів захисту для зниження потенційних ризиків.