NFT Sözleşmesi Güvenlik Denetimi: Sıkça Sorulan Sorular ve Tipik Vaka Analizi
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve büyük ekonomik kayıplara yol açtı. Veri platformlarının izlemelerine göre, toplamda 10 ana güvenlik olayı gerçekleşti ve yaklaşık 6490 milyon dolar kayıp oluştu. Saldırı yöntemleri arasında sözleşme açıklarının kötüye kullanılması, özel anahtar sızıntıları ve kimlik avı gibi yöntemler yer alıyor. Dikkate değer olan, Discord platformundaki kimlik avı saldırılarının neredeyse her gün gerçekleşmesi ve kişisel kullanıcıların sık sık kayıplar yaşamasıdır.
İlk Yarı Yıl NFT Tipik Güvenlik Olayları Analizi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Olayın kökeni, sözleşmedeki mantık hatasıydı; ERC-1155 ve ERC-721 token'larının karıştırılması mantık karmaşasına yol açtı. Sözleşme, token satın alma fiyatını hesaplarken ERC-721 token'larının sayım kavramını yanlış kullandı ve token transferi gerçekleştirilirken mantıksal ayrım yapılmadı.
APE Coin airdrop olayı
17 Mart 2022'de, bir hacker, flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, airdrop sözleşmesinde mevcut olup, NFT mülkiyetini yalnızca anlık bakiye kontrolü ile kontrol ediyordu ve bu durum flash kredi tarafından manipüle edilebiliyordu.
Revest Finance olayı
27 Mart 2022'de, Revest Finance bir saldırıya uğradı ve yaklaşık 120.000 $ kaybetti. Sebebi ERC-1155 tekrar giriş açığıydı, sözleşme yeni FNFT'leri basarken var olup olmadığını kontrol etmemişti ve durum değişkenlerinin artırılması mint fonksiyonundan sonra gerçekleşti, bu da tekrar giriş saldırısına olanak sağladı.
NBA NFT projesi olayı
21 Nisan 2022, NBA ile ilgili NFT projeleri saldırıya uğradı. Sorun, beyaz liste doğrulama sürecindeki imza kontrol aşamasında, imza sahteciliği ve yeniden kullanımı gibi iki güvenlik açığı bulunmasındaydı. Sözleşme, kullanılan imzaları saklamıyordu ve parametre aktarımı sırasında msg.sender kontrol edilmedi.
Akutar olayı
23 Nisan 2022'de, Akutar projesi sözleşme açığı nedeniyle 11,5 bin ETH( yaklaşık 34 milyon dolar) kilitlendi. Temelde iki mantıksal sorun vardı: İade fonksiyonu kötü niyetli bir şekilde kesilebilir; kullanıcıların birden fazla teklif verme durumu göz önünde bulundurulmadığı için iade asla gerçekleştirilemez.
XCarnival olayı
24 Haziran 2022'de, NFT borç verme protokolü XCarnival saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybetti. Açık, NFT'lerin teminat olarak verilmesinde xToken adresinin doğrulanmamasında ve borç verme sırasında teminat kayıt durumunun kontrol edilmemesinde yatıyordu, bu da saldırganların geçersiz teminatları tekrar kullanarak borç almasına olanak tanıdı.
NFT Akıllı Sözleşme Denetimi Sıkça Sorulan Sorular
İmza kötüye kullanımı ve yeniden kullanımı:
Kullanıcı nonce'u gibi tekrar eden yürütme doğrulaması eksik.
İmza kontrolü sıkı değil, sıfır adres durumunu kontrol etmediği gibi
Mantık Açığı:
Özel madeni para çıkarma yöntemi toplam miktar kısıtlamasını aşar
Müzayede sırasında işlem sırası bağımlılık saldırı riski vardır
ERC721/ERC1155 yeniden giriş saldırısı:
Transfer bildirim işlevi reentrancy sorununa yol açabilir
Yetki alanı çok geniş:
Tekil token yetkisi yerine küresel yetki talep edin
Fiyat manipülasyonu:
NFT fiyatı dış sözleşme durumuna bağlıdır, ani kredi manipülasyonuna açıktır.
NFT sözleşmeleriyle ilgili güvenlik olaylarının sıkça yaşanması ve denetim sırasında tespit edilen yaygın açıkların genellikle gerçek saldırılarla yüksek uyum göstermesi nedeniyle, proje ekipleri sözleşme güvenliğine önem vermeli ve güvenlik risklerini azaltmak için profesyonel denetim hizmetleri aramalıdır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
11 Likes
Reward
11
3
Share
Comment
0/400
MevHunter
· 11h ago
ETH izleme ile ilgili MEV takipçisi, karanlık ormanda Botlar'ı günlük olarak arıyor.
View OriginalReply0
GlueGuy
· 07-30 14:33
Blok Zinciri kırılmaları hala az mı? Bakın, gözlerim kamaşmış.
View OriginalReply0
MEV_Whisperer
· 07-29 16:53
Aman Tanrım, bir dalga daha enayiler insanları enayi yerine koymak.
NFT sözleşmesi güvenlik olayları sıkça yaşanıyor. Altı tipik vaka ve yaygın zayıflık analizi.
NFT Sözleşmesi Güvenlik Denetimi: Sıkça Sorulan Sorular ve Tipik Vaka Analizi
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve büyük ekonomik kayıplara yol açtı. Veri platformlarının izlemelerine göre, toplamda 10 ana güvenlik olayı gerçekleşti ve yaklaşık 6490 milyon dolar kayıp oluştu. Saldırı yöntemleri arasında sözleşme açıklarının kötüye kullanılması, özel anahtar sızıntıları ve kimlik avı gibi yöntemler yer alıyor. Dikkate değer olan, Discord platformundaki kimlik avı saldırılarının neredeyse her gün gerçekleşmesi ve kişisel kullanıcıların sık sık kayıplar yaşamasıdır.
İlk Yarı Yıl NFT Tipik Güvenlik Olayları Analizi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Olayın kökeni, sözleşmedeki mantık hatasıydı; ERC-1155 ve ERC-721 token'larının karıştırılması mantık karmaşasına yol açtı. Sözleşme, token satın alma fiyatını hesaplarken ERC-721 token'larının sayım kavramını yanlış kullandı ve token transferi gerçekleştirilirken mantıksal ayrım yapılmadı.
APE Coin airdrop olayı
17 Mart 2022'de, bir hacker, flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, airdrop sözleşmesinde mevcut olup, NFT mülkiyetini yalnızca anlık bakiye kontrolü ile kontrol ediyordu ve bu durum flash kredi tarafından manipüle edilebiliyordu.
Revest Finance olayı
27 Mart 2022'de, Revest Finance bir saldırıya uğradı ve yaklaşık 120.000 $ kaybetti. Sebebi ERC-1155 tekrar giriş açığıydı, sözleşme yeni FNFT'leri basarken var olup olmadığını kontrol etmemişti ve durum değişkenlerinin artırılması mint fonksiyonundan sonra gerçekleşti, bu da tekrar giriş saldırısına olanak sağladı.
NBA NFT projesi olayı
21 Nisan 2022, NBA ile ilgili NFT projeleri saldırıya uğradı. Sorun, beyaz liste doğrulama sürecindeki imza kontrol aşamasında, imza sahteciliği ve yeniden kullanımı gibi iki güvenlik açığı bulunmasındaydı. Sözleşme, kullanılan imzaları saklamıyordu ve parametre aktarımı sırasında msg.sender kontrol edilmedi.
Akutar olayı
23 Nisan 2022'de, Akutar projesi sözleşme açığı nedeniyle 11,5 bin ETH( yaklaşık 34 milyon dolar) kilitlendi. Temelde iki mantıksal sorun vardı: İade fonksiyonu kötü niyetli bir şekilde kesilebilir; kullanıcıların birden fazla teklif verme durumu göz önünde bulundurulmadığı için iade asla gerçekleştirilemez.
XCarnival olayı
24 Haziran 2022'de, NFT borç verme protokolü XCarnival saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybetti. Açık, NFT'lerin teminat olarak verilmesinde xToken adresinin doğrulanmamasında ve borç verme sırasında teminat kayıt durumunun kontrol edilmemesinde yatıyordu, bu da saldırganların geçersiz teminatları tekrar kullanarak borç almasına olanak tanıdı.
NFT Akıllı Sözleşme Denetimi Sıkça Sorulan Sorular
İmza kötüye kullanımı ve yeniden kullanımı:
Mantık Açığı:
ERC721/ERC1155 yeniden giriş saldırısı:
Yetki alanı çok geniş:
Fiyat manipülasyonu:
NFT sözleşmeleriyle ilgili güvenlik olaylarının sıkça yaşanması ve denetim sırasında tespit edilen yaygın açıkların genellikle gerçek saldırılarla yüksek uyum göstermesi nedeniyle, proje ekipleri sözleşme güvenliğine önem vermeli ve güvenlik risklerini azaltmak için profesyonel denetim hizmetleri aramalıdır.