Безопасность NFT-контрактов: Обзор событий первой половины 2022 года и анализ распространенных вопросов по аудиту
В первой половине 2022 года в области NFT произошло множество инцидентов безопасности, что привело к значительным экономическим потерям. По данным мониторинговой платформы, произошло 10 основных инцидентов безопасности, убытки составили около 6490 миллионов долларов. Основные способы атак включали эксплуатацию уязвимостей контрактов, утечку приватных ключей и фишинг. В то же время фишинг в Discord происходил почти каждый день, и отдельные пользователи часто несли убытки.
Обзор типичных инцидентов безопасности
Событие TreasureDAO
3 марта 2022 года платформа TreasureDAO была атакована хакерами, в результате чего было украдено более 100 NFT. Уязвимость возникла из-за путаницы в логике функции buyItem контракта TreasureMarketplaceBuyer, которая не проверяла тип токена и сразу рассчитывала цену, что позволило купить NFT за 0 ERC-20 токенов. Это отражает логические проблемы, которые могут возникнуть при смешивании токенов ERC-1155 и ERC-721.
APE Coin аирдроп событие
17 марта 2022 года хакеры получили более 60 000 APE Coin через флеш-займ. Контракт на AirdropGrapesToken для аирдропа определял право собственности на NFT только через balanceOf(), и этот способ легко поддается манипуляциям с помощью флеш-займов.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся атаке, в результате которой было потеряно 120000 долларов США. Уязвимость возникла из-за повторного входа в контракт ERC-1155, который не проверял, существует ли уже новый FNFT при его создании, и переменная состояния инкрементировалась после _mint(), что привело к уязвимости повторного входа.
NBA хайп-событие
21 апреля 2022 года проект NBA подвергся атаке. В контракте The_Association_Sales при проверке белого списка возникли проблемы с подделкой и повторным использованием подписей, не хранились использованные подписи, и при передаче параметров не проверялся msg.sender.
Событие Akutar
23 апреля 2022 года у проекта Akutar в контракте AkuAuction была обнаружена уязвимость, в результате которой было заблокировано 11,5 тысячи ETH. Основные проблемы заключаются в двух логических ошибках: функция возврата может быть намеренно прервана; не учитывается ситуация с многократными ставками пользователей, что приводит к невозможности выполнения возврата.
XCarnival событие
24 июня 2022 года XCarnival подвергся атаке, в результате которой было потеряно 3087 ETH. Контракт XNFT не проверял адрес xToken при ставке NFT и не проверял статус записи залога при заимствовании, что позволило злоумышленнику многократно использовать недействительный залог для заимствования.
Часто задаваемые вопросы по аудиту контрактов NFT
Подделка и повторное использование подписи: отсутствие проверки повторного выполнения; проверка подписи неразумна.
Логическая уязвимость: администратор может обойти ограничение на общее количество монет; во время аукциона существует атака, зависящая от порядка транзакций.
Атака повторного входа ERC721/ERC1155: использование функции уведомления о переводе может привести к повторному входу.
Слишком широкий диапазон полномочий: требуется глобальное разрешение, а не разрешение на отдельный токен, что увеличивает риск кражи NFT.
Манипуляция ценами: цена NFT зависит от количества токенов определенного контракта, что может быть подвержено манипуляциям с помощью флеш-займов.
В целом, частые инциденты безопасности смарт-контрактов NFT подчеркивают важность профессионального аудита безопасности. Проектные команды должны уделять внимание безопасности контрактов и искать профессиональный аудит для предотвращения потенциальных рисков.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
6
Репост
Поделиться
комментарий
0/400
CommunitySlacker
· 12ч назад
Как же можно получить столько выгоды от уязвимостей в контрактах?
Посмотреть ОригиналОтветить0
OnChainDetective
· 12ч назад
еще один день, еще один взлом... анализ шаблонов показывает 90% из-за основных недочетов в контрактах smh
Посмотреть ОригиналОтветить0
NotFinancialAdviser
· 12ч назад
Чуть не потерял штаны, осторожно инвестируйте
Посмотреть ОригиналОтветить0
RebaseVictim
· 12ч назад
Блокчейн разыгрывайте людей как лохов Крупные инвесторы Есть деньги, всё равно нужно гнаться за NFT
Посмотреть ОригиналОтветить0
ImpermanentLossFan
· 12ч назад
Шестьдесят миллионов долларов, а снова заработал, ужасно
Частые уязвимости в NFT-контрактах, убытки в первой половине 2022 года составили 6490 миллионов долларов США.
Безопасность NFT-контрактов: Обзор событий первой половины 2022 года и анализ распространенных вопросов по аудиту
В первой половине 2022 года в области NFT произошло множество инцидентов безопасности, что привело к значительным экономическим потерям. По данным мониторинговой платформы, произошло 10 основных инцидентов безопасности, убытки составили около 6490 миллионов долларов. Основные способы атак включали эксплуатацию уязвимостей контрактов, утечку приватных ключей и фишинг. В то же время фишинг в Discord происходил почти каждый день, и отдельные пользователи часто несли убытки.
Обзор типичных инцидентов безопасности
Событие TreasureDAO
3 марта 2022 года платформа TreasureDAO была атакована хакерами, в результате чего было украдено более 100 NFT. Уязвимость возникла из-за путаницы в логике функции buyItem контракта TreasureMarketplaceBuyer, которая не проверяла тип токена и сразу рассчитывала цену, что позволило купить NFT за 0 ERC-20 токенов. Это отражает логические проблемы, которые могут возникнуть при смешивании токенов ERC-1155 и ERC-721.
APE Coin аирдроп событие
17 марта 2022 года хакеры получили более 60 000 APE Coin через флеш-займ. Контракт на AirdropGrapesToken для аирдропа определял право собственности на NFT только через balanceOf(), и этот способ легко поддается манипуляциям с помощью флеш-займов.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся атаке, в результате которой было потеряно 120000 долларов США. Уязвимость возникла из-за повторного входа в контракт ERC-1155, который не проверял, существует ли уже новый FNFT при его создании, и переменная состояния инкрементировалась после _mint(), что привело к уязвимости повторного входа.
NBA хайп-событие
21 апреля 2022 года проект NBA подвергся атаке. В контракте The_Association_Sales при проверке белого списка возникли проблемы с подделкой и повторным использованием подписей, не хранились использованные подписи, и при передаче параметров не проверялся msg.sender.
Событие Akutar
23 апреля 2022 года у проекта Akutar в контракте AkuAuction была обнаружена уязвимость, в результате которой было заблокировано 11,5 тысячи ETH. Основные проблемы заключаются в двух логических ошибках: функция возврата может быть намеренно прервана; не учитывается ситуация с многократными ставками пользователей, что приводит к невозможности выполнения возврата.
XCarnival событие
24 июня 2022 года XCarnival подвергся атаке, в результате которой было потеряно 3087 ETH. Контракт XNFT не проверял адрес xToken при ставке NFT и не проверял статус записи залога при заимствовании, что позволило злоумышленнику многократно использовать недействительный залог для заимствования.
Часто задаваемые вопросы по аудиту контрактов NFT
Подделка и повторное использование подписи: отсутствие проверки повторного выполнения; проверка подписи неразумна.
Логическая уязвимость: администратор может обойти ограничение на общее количество монет; во время аукциона существует атака, зависящая от порядка транзакций.
Атака повторного входа ERC721/ERC1155: использование функции уведомления о переводе может привести к повторному входу.
Слишком широкий диапазон полномочий: требуется глобальное разрешение, а не разрешение на отдельный токен, что увеличивает риск кражи NFT.
Манипуляция ценами: цена NFT зависит от количества токенов определенного контракта, что может быть подвержено манипуляциям с помощью флеш-займов.
В целом, частые инциденты безопасности смарт-контрактов NFT подчеркивают важность профессионального аудита безопасности. Проектные команды должны уделять внимание безопасности контрактов и искать профессиональный аудит для предотвращения потенциальных рисков.