Безопасность аудита контрактов NFT: Часто задаваемые вопросы и типичные примеры анализа
В первой половине 2022 года в области NFT произошли частые инциденты безопасности, что привело к огромным экономическим потерям. Согласно данным платформы мониторинга, произошло 10 основных инцидентов безопасности, ущерб составил около 64,9 миллиона долларов. Основные способы атак включают эксплуатацию уязвимостей в контрактах, утечку частных ключей и фишинг. Примечательно, что фишинговые атаки на платформе Discord происходят почти каждый день, что приводит к частым потерям среди индивидуальных пользователей.
Анализ типичных инцидентов безопасности NFT за первое полугодие
Событие TreasureDAO
3 марта 2022 года торговая платформа TreasureDAO подверглась хакерской атаке, в результате которой было украдено более 100 NFT. Корень проблемы заключается в логическом уязвимости контракта, смешивании токенов ERC-1155 и ERC-721, что привело к логическому хаосу. При расчете цены покупки токенов был ошибочно использован концепт количества токенов ERC-721, и в реализации передачи токенов не было проведено логическое разделение.
Событие аирдропа APE Coin
17 марта 2022 года хакеры использовали флеш-кредиты для получения более 60 000 APE Coin через аирдроп. Уязвимость была в контракте аирдропа, который проверял владение NFT только через instant balance, что можно было манипулировать с помощью флеш-кредита.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся хакерской атаке, в результате которой было потеряно около 120 000 долларов США. Причиной стала уязвимость повторного входа ERC-1155, так как контракт при создании нового FNFT не проверял, существует ли он уже, а переменная состояния увеличивалась после функции mint, что создало возможность для повторной атаки.
NBA NFT проект события
21 апреля 2022 года проект, связанный с НБА, подвергся атаке. Проблема заключалась в этапе проверки подписи верификации белого списка, где существуют два риска безопасности: подделка и повторное использование подписи. Контракт не хранил уже использованные подписи, и при передаче параметров не проверялся msg.sender.
событие Akutar
23 апреля 2022 года проект Akutar был заблокирован на 11,5 тыс. ETH (, что составляет около 34 млн долларов США ) из-за уязвимости контракта. Существуют два основных логических вопроса: функция возврата может быть злоумышленно прервана; не учитывается ситуация, когда пользователи делают ставки несколько раз, что приводит к невозможности выполнения возврата.
XCarnival событие
24 июня 2022 года, NFT-кредитный протокол XCarnival был атакован, и убытки составили около 3,8 миллиона долларов. Уязвимость заключалась в том, что при ставке NFT не проверялся адрес xToken, и при кредитовании не проверялось состояние записи залога, что позволяло злоумышленникам повторно использовать недействительные залоги для получения кредита.
Часто задаваемые вопросы по аудиту NFT-контрактов
Подделка и повторное использование подписей:
Отсутствует проверка повторного выполнения, например, nonce пользователя
Проверка подписи не строгая, например, не проверяется ситуация с нулевым адресом
Логическая уязвимость:
Специальный способ чеканки монет обходит ограничение на общее количество
Существует риск атаки зависимостей от порядка сделок во время аукциона.
Атака повторного входа ERC721/ERC1155:
Функция уведомления о переводе может вызвать повторный вход
Слишком широкий объем полномочий:
Требуется глобальное разрешение, а не разрешение для отдельного токена
Манипуляция ценами:
Цена NFT зависит от состояния внешнего контракта, легко поддается манипуляциям через Flash Loan
Учитывая частые инциденты безопасности контрактов NFT и то, что распространенные уязвимости, обнаруженные в ходе аудита, часто совпадают с реальными атаками, проектные команды должны уделять внимание безопасности контрактов и обращаться за профессиональными услугами аудита для снижения рисков безопасности.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
3
Поделиться
комментарий
0/400
MevHunter
· 07-31 06:40
Слежка за MEV, идущая в ногу с ETH, ежедневно ищет Ботов в темном лесу.
Посмотреть ОригиналОтветить0
GlueGuy
· 07-30 14:33
Блокчейн破事还少吗 看麻了
Посмотреть ОригиналОтветить0
MEV_Whisperer
· 07-29 16:53
Боже мой, ещё одна волна неудачников разыгрывайте людей как лохов.
Частые инциденты безопасности контрактов NFT: шесть типичных случаев и анализ распространенных уязвимостей
Безопасность аудита контрактов NFT: Часто задаваемые вопросы и типичные примеры анализа
В первой половине 2022 года в области NFT произошли частые инциденты безопасности, что привело к огромным экономическим потерям. Согласно данным платформы мониторинга, произошло 10 основных инцидентов безопасности, ущерб составил около 64,9 миллиона долларов. Основные способы атак включают эксплуатацию уязвимостей в контрактах, утечку частных ключей и фишинг. Примечательно, что фишинговые атаки на платформе Discord происходят почти каждый день, что приводит к частым потерям среди индивидуальных пользователей.
Анализ типичных инцидентов безопасности NFT за первое полугодие
Событие TreasureDAO
3 марта 2022 года торговая платформа TreasureDAO подверглась хакерской атаке, в результате которой было украдено более 100 NFT. Корень проблемы заключается в логическом уязвимости контракта, смешивании токенов ERC-1155 и ERC-721, что привело к логическому хаосу. При расчете цены покупки токенов был ошибочно использован концепт количества токенов ERC-721, и в реализации передачи токенов не было проведено логическое разделение.
Событие аирдропа APE Coin
17 марта 2022 года хакеры использовали флеш-кредиты для получения более 60 000 APE Coin через аирдроп. Уязвимость была в контракте аирдропа, который проверял владение NFT только через instant balance, что можно было манипулировать с помощью флеш-кредита.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся хакерской атаке, в результате которой было потеряно около 120 000 долларов США. Причиной стала уязвимость повторного входа ERC-1155, так как контракт при создании нового FNFT не проверял, существует ли он уже, а переменная состояния увеличивалась после функции mint, что создало возможность для повторной атаки.
NBA NFT проект события
21 апреля 2022 года проект, связанный с НБА, подвергся атаке. Проблема заключалась в этапе проверки подписи верификации белого списка, где существуют два риска безопасности: подделка и повторное использование подписи. Контракт не хранил уже использованные подписи, и при передаче параметров не проверялся msg.sender.
событие Akutar
23 апреля 2022 года проект Akutar был заблокирован на 11,5 тыс. ETH (, что составляет около 34 млн долларов США ) из-за уязвимости контракта. Существуют два основных логических вопроса: функция возврата может быть злоумышленно прервана; не учитывается ситуация, когда пользователи делают ставки несколько раз, что приводит к невозможности выполнения возврата.
XCarnival событие
24 июня 2022 года, NFT-кредитный протокол XCarnival был атакован, и убытки составили около 3,8 миллиона долларов. Уязвимость заключалась в том, что при ставке NFT не проверялся адрес xToken, и при кредитовании не проверялось состояние записи залога, что позволяло злоумышленникам повторно использовать недействительные залоги для получения кредита.
Часто задаваемые вопросы по аудиту NFT-контрактов
Подделка и повторное использование подписей:
Логическая уязвимость:
Атака повторного входа ERC721/ERC1155:
Слишком широкий объем полномочий:
Манипуляция ценами:
Учитывая частые инциденты безопасности контрактов NFT и то, что распространенные уязвимости, обнаруженные в ходе аудита, часто совпадают с реальными атаками, проектные команды должны уделять внимание безопасности контрактов и обращаться за профессиональными услугами аудита для снижения рисков безопасности.