تدقيق أمان عقود NFT: الأسئلة الشائعة وتحليل الحالات النموذجية
شهد النصف الأول من عام 2022، العديد من الحوادث الأمنية في مجال NFT، مما أدى إلى خسائر اقتصادية كبيرة. وفقًا لرصد منصة البيانات، حدثت 10 حوادث أمنية رئيسية، مما أسفر عن خسائر تبلغ حوالي 6490万美元. وتشمل أساليب الهجوم الرئيسية استغلال ثغرات العقود، تسرب المفاتيح الخاصة، والهجمات التصيدية. ومن الجدير بالذكر أن هجمات التصيد على منصة Discord تحدث تقريبًا كل يوم، مما يتسبب في تعرض المستخدمين الأفراد لخسائر متكررة.
تحليل حوادث الأمان النموذجية لـ NFT في النصف الأول من العام
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO التجارية للاختراق، مما أدى إلى سرقة أكثر من 100 NFT. كانت جذور الحادث تكمن في ثغرة منطقية في العقد، حيث أدى الاستخدام المتداخل لرموز ERC-1155 و ERC-721 إلى فوضى منطقية. استخدم العقد مفهوم عدد رموز ERC-721 بشكل خاطئ عند حساب سعر شراء الرموز، ولم يتم فصل المنطق في تنفيذ تحويل الرموز.
حدث توزيع عملة APE
في 17 مارس 2022، استغل المتسللون اقتراض الوميض للحصول على أكثر من 60,000 من عملة APE Coin المجانية. كانت الثغرة موجودة في عقد الإطلاق، حيث تم التحقق من ملكية NFT فقط من خلال فحص الرصيد الفوري، وكانت هذه الحالة قابلة للتحكم بواسطة اقتراض الوميض.
فعالية Revest Finance
في 27 مارس 2022، تعرضت Revest Finance لهجوم من قبل قراصنة، مما أدى إلى خسارة حوالي 120,000 دولار أمريكي. والسبب هو ثغرة إعادة الدخول في ERC-1155، حيث لم يتحقق العقد عند سك FNFT جديدة مما إذا كانت موجودة بالفعل، وزادت المتغيرات الحالة بعد دالة الصك، مما أدى إلى احتمال وقوع هجوم إعادة الدخول.
مشروع NFT دوري كرة السلة الأمريكية
في 21 أبريل 2022، تعرض مشروع NFT المرتبط بـ NBA لهجوم. كانت المشكلة في مرحلة التحقق من توقيع التحقق من القائمة البيضاء، حيث كان هناك خطران أمنيّان من استخدام التوقيع بشكل غير قانوني وإعادة استخدامه. لم يتم تخزين التوقيعات المستخدمة في العقد، ولم يتم التحقق من msg.sender عند تمرير المعلمات.
حدث أكوتار
في 23 أبريل 2022، أدى مشروع Akutar إلى قفل 1.15 ألف ETH ( بقيمة حوالي 3.4 مليون دولار أمريكي ) بسبب ثغرة في العقد. كانت هناك مشكلتان منطقيتان رئيسيتان: يمكن تعطيل دالة الاسترداد بشكل ضار؛ لم تؤخذ في الاعتبار حالات تقديم العطاءات المتكررة من قبل المستخدم، مما أدى إلى عدم إمكانية تنفيذ الاسترداد إلى الأبد.
حدث XCarnival
في 24 يونيو 2022، تم مهاجمة بروتوكول إقراض NFT XCarnival، مما أسفر عن خسارة تبلغ حوالي 3.8 مليون دولار. كانت الثغرة في عدم التحقق من عنوان xToken عند رهن NFT، وعدم فحص حالة سجل الرهن عند الإقراض، مما سمح للمهاجمين بإعادة استخدام الرهن غير الصالح للإقراض.
أسئلة شائعة حول تدقيق عقود NFT
انتحال التوقيع وإعادة استخدامه:
نقص تحقق التنفيذ المتكرر، مثل nonce المستخدم
فحص التوقيع ليس صارمًا، مثل عدم فحص حالة العنوان الصفري
ثغرة منطقية:
طريقة سك خاصة تتجاوز حد الكمية الإجمالية
يوجد خطر هجمات الاعتماد على ترتيب المعاملات أثناء المزاد
هجوم إعادة الدخول ERC721/ERC1155:
قد تؤدي وظيفة إشعار التحويل إلى إعادة الدخول
نطاق التفويض كبير جدًا:
يتطلب التفويض العالمي بدلاً من تفويض رمز واحد
التحكم في الأسعار:
سعر NFT يعتمد على حالة العقد الخارجي، مما يسهل التلاعب به عن طريق القروض السريعة
نظرًا لتكرار حوادث أمان عقود NFT، وغالبًا ما تتطابق الثغرات الشائعة التي تم اكتشافها خلال التدقيق بشكل كبير مع الهجمات الفعلية، ينبغي على فرق المشاريع التركيز على أمان العقود، والبحث عن خدمات تدقيق احترافية، لتقليل مخاطر الأمان.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 11
أعجبني
11
3
مشاركة
تعليق
0/400
MevHunter
· منذ 11 س
ملاحق MEV الذي يتبع مصدر ETH عن كثب يبحث يومياً عن بوتات في الغابة المظلمة
تكرار حوادث أمان عقود NFT: تحليل ستة حالات نموذجية والثغرات الشائعة
تدقيق أمان عقود NFT: الأسئلة الشائعة وتحليل الحالات النموذجية
شهد النصف الأول من عام 2022، العديد من الحوادث الأمنية في مجال NFT، مما أدى إلى خسائر اقتصادية كبيرة. وفقًا لرصد منصة البيانات، حدثت 10 حوادث أمنية رئيسية، مما أسفر عن خسائر تبلغ حوالي 6490万美元. وتشمل أساليب الهجوم الرئيسية استغلال ثغرات العقود، تسرب المفاتيح الخاصة، والهجمات التصيدية. ومن الجدير بالذكر أن هجمات التصيد على منصة Discord تحدث تقريبًا كل يوم، مما يتسبب في تعرض المستخدمين الأفراد لخسائر متكررة.
تحليل حوادث الأمان النموذجية لـ NFT في النصف الأول من العام
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO التجارية للاختراق، مما أدى إلى سرقة أكثر من 100 NFT. كانت جذور الحادث تكمن في ثغرة منطقية في العقد، حيث أدى الاستخدام المتداخل لرموز ERC-1155 و ERC-721 إلى فوضى منطقية. استخدم العقد مفهوم عدد رموز ERC-721 بشكل خاطئ عند حساب سعر شراء الرموز، ولم يتم فصل المنطق في تنفيذ تحويل الرموز.
حدث توزيع عملة APE
في 17 مارس 2022، استغل المتسللون اقتراض الوميض للحصول على أكثر من 60,000 من عملة APE Coin المجانية. كانت الثغرة موجودة في عقد الإطلاق، حيث تم التحقق من ملكية NFT فقط من خلال فحص الرصيد الفوري، وكانت هذه الحالة قابلة للتحكم بواسطة اقتراض الوميض.
فعالية Revest Finance
في 27 مارس 2022، تعرضت Revest Finance لهجوم من قبل قراصنة، مما أدى إلى خسارة حوالي 120,000 دولار أمريكي. والسبب هو ثغرة إعادة الدخول في ERC-1155، حيث لم يتحقق العقد عند سك FNFT جديدة مما إذا كانت موجودة بالفعل، وزادت المتغيرات الحالة بعد دالة الصك، مما أدى إلى احتمال وقوع هجوم إعادة الدخول.
مشروع NFT دوري كرة السلة الأمريكية
في 21 أبريل 2022، تعرض مشروع NFT المرتبط بـ NBA لهجوم. كانت المشكلة في مرحلة التحقق من توقيع التحقق من القائمة البيضاء، حيث كان هناك خطران أمنيّان من استخدام التوقيع بشكل غير قانوني وإعادة استخدامه. لم يتم تخزين التوقيعات المستخدمة في العقد، ولم يتم التحقق من msg.sender عند تمرير المعلمات.
حدث أكوتار
في 23 أبريل 2022، أدى مشروع Akutar إلى قفل 1.15 ألف ETH ( بقيمة حوالي 3.4 مليون دولار أمريكي ) بسبب ثغرة في العقد. كانت هناك مشكلتان منطقيتان رئيسيتان: يمكن تعطيل دالة الاسترداد بشكل ضار؛ لم تؤخذ في الاعتبار حالات تقديم العطاءات المتكررة من قبل المستخدم، مما أدى إلى عدم إمكانية تنفيذ الاسترداد إلى الأبد.
حدث XCarnival
في 24 يونيو 2022، تم مهاجمة بروتوكول إقراض NFT XCarnival، مما أسفر عن خسارة تبلغ حوالي 3.8 مليون دولار. كانت الثغرة في عدم التحقق من عنوان xToken عند رهن NFT، وعدم فحص حالة سجل الرهن عند الإقراض، مما سمح للمهاجمين بإعادة استخدام الرهن غير الصالح للإقراض.
أسئلة شائعة حول تدقيق عقود NFT
انتحال التوقيع وإعادة استخدامه:
ثغرة منطقية:
هجوم إعادة الدخول ERC721/ERC1155:
نطاق التفويض كبير جدًا:
التحكم في الأسعار:
نظرًا لتكرار حوادث أمان عقود NFT، وغالبًا ما تتطابق الثغرات الشائعة التي تم اكتشافها خلال التدقيق بشكل كبير مع الهجمات الفعلية، ينبغي على فرق المشاريع التركيز على أمان العقود، والبحث عن خدمات تدقيق احترافية، لتقليل مخاطر الأمان.