Безпека аудиту контракту NFT: Поширені запитання та аналіз типових випадків
У першій половині 2022 року у сфері NFT часто траплялися інциденти безпеки, що спричинили величезні економічні втрати. За даними моніторингових платформ, сталося 10 основних інцидентів безпеки, які призвели до втрат приблизно 6490 мільйонів доларів. Основні методи атаки включали використання вразливостей у контрактах, витік приватних ключів та фішинг. Варто зазначити, що фішингові атаки на платформі Discord відбуваються майже щодня, що призводить до частих втрат серед особистих користувачів.
Аналіз типов безпекових інцидентів NFT за перше півріччя
Подія ### TreasureDAO
3 березня 2022 року платформа торгівлі TreasureDAO зазнала хакерської атаки, що призвело до крадіжки понад 100 NFT. Причиною інциденту стала логічна уразливість у контракті, змішування токенів ERC-1155 та ERC-721 викликало логічну плутанину. У контракті під час обчислення ціни покупки токенів було помилково використано концепцію кількості токенів ERC-721, а також у реалізації передачі токенів не було здійснено логічного розділення.
APE Coin аірдроп подія
17 березня 2022 року хакери використали миттєвий кредит, щоб отримати понад 60 000 монет APE Coin у вигляді аеродропу. Уразливість існувала в контракті аеродропу, який перевіряв право власності на NFT лише через миттєвий баланс, а цей стан можна було маніпулювати за допомогою миттєвого кредиту.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнав хакерської атаки, внаслідок якої було втрачено приблизно 120 000 доларів США. Причиною атаки став вразливість повторного входу ERC-1155: контракт не перевіряв, чи вже існує новий FNFT під час його карбування, а змінна стану збільшувалася після функції mint, що створювало можливість повторного входу.
NBA NFT проект подій
21 квітня 2022 року проект, пов'язаний з НБА, зазнав атаки. Проблема полягала у перевірці підписів на етапі верифікації білого списку, де існували два ризики безпеки: підробка та повторне використання підписів. Контракт не зберігав вже використані підписи, а також не перевіряв msg.sender під час передачі параметрів.
Подія Akutar
23 квітня 2022 року проект Akutar через вразливість у контракті призвів до блокування 11,5 тисяч ETH( приблизно на 3,4 мільйона доларів США). Основні проблеми полягали в двох логічних аспектах: функцію повернення коштів можна було зловмисно перервати; не було враховано ситуацію з багаторазовими ставками користувачів, що призвело до неможливості виконання повернення коштів.
Подія XCarnival
24 червня 2022 року протокол кредитування NFT XCarnival був атакований, внаслідок чого було втрачено близько 3,8 мільйона доларів. Уразливість полягала в тому, що при заставі NFT не перевіряли адресу xToken, а також при кредитуванні не перевіряли стан заставних записів, що дозволило зловмиснику повторно використовувати недійсні застави для отримання кредиту.
Загальні питання щодо аудиту NFT-контрактів
Використання та повторне використання підписів:
Відсутня перевірка повторного виконання, наприклад, nonce користувача
Перевірка підпису не є суворою, наприклад, якщо не перевірено ситуацію з нульовою адресою.
Логічна вразливість:
Спеціальний спосіб карбування монет обходить обмеження загальної кількості
Під час аукціону існує ризик атаки залежності від порядку транзакцій
Атака повторного входу ERC721/ERC1155:
Функція сповіщення про переказ може викликати повторне входження
Занадто великий обсяг повноважень:
Вимагати глобального дозволу, а не дозволу на окремий токен
Маніпуляція цінами:
Ціна NFT залежить від стану зовнішнього контракту, легко піддається маніпуляціям з боку кредитів на блискавичних позиках
У зв'язку з частими інцидентами безпеки контрактів NFT та тим, що загальні вразливості, виявлені під час аудиту, часто співпадають з реальними атаками, команди проектів повинні приділяти увагу безпеці контрактів і шукати професійні аудиторські послуги для зменшення ризиків безпеки.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
3
Поділіться
Прокоментувати
0/400
MevHunter
· 11год тому
Тісно слідкуйте за MEV трекерами, які відстежують ETH, щоденно шукаючи Боти в темному лісі.
Переглянути оригіналвідповісти на0
GlueGuy
· 07-30 14:33
Блокчейн破事 ще мало? Дивлюсь на麻了.
Переглянути оригіналвідповісти на0
MEV_Whisperer
· 07-29 16:53
Мої небеса, ще одна хвиля невдах обдурювати людей, як лохів.
Часті випадки безпеки контрактів NFT: шість типових випадків та аналіз поширених вразливостей
Безпека аудиту контракту NFT: Поширені запитання та аналіз типових випадків
У першій половині 2022 року у сфері NFT часто траплялися інциденти безпеки, що спричинили величезні економічні втрати. За даними моніторингових платформ, сталося 10 основних інцидентів безпеки, які призвели до втрат приблизно 6490 мільйонів доларів. Основні методи атаки включали використання вразливостей у контрактах, витік приватних ключів та фішинг. Варто зазначити, що фішингові атаки на платформі Discord відбуваються майже щодня, що призводить до частих втрат серед особистих користувачів.
Аналіз типов безпекових інцидентів NFT за перше півріччя
Подія ### TreasureDAO
3 березня 2022 року платформа торгівлі TreasureDAO зазнала хакерської атаки, що призвело до крадіжки понад 100 NFT. Причиною інциденту стала логічна уразливість у контракті, змішування токенів ERC-1155 та ERC-721 викликало логічну плутанину. У контракті під час обчислення ціни покупки токенів було помилково використано концепцію кількості токенів ERC-721, а також у реалізації передачі токенів не було здійснено логічного розділення.
APE Coin аірдроп подія
17 березня 2022 року хакери використали миттєвий кредит, щоб отримати понад 60 000 монет APE Coin у вигляді аеродропу. Уразливість існувала в контракті аеродропу, який перевіряв право власності на NFT лише через миттєвий баланс, а цей стан можна було маніпулювати за допомогою миттєвого кредиту.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнав хакерської атаки, внаслідок якої було втрачено приблизно 120 000 доларів США. Причиною атаки став вразливість повторного входу ERC-1155: контракт не перевіряв, чи вже існує новий FNFT під час його карбування, а змінна стану збільшувалася після функції mint, що створювало можливість повторного входу.
NBA NFT проект подій
21 квітня 2022 року проект, пов'язаний з НБА, зазнав атаки. Проблема полягала у перевірці підписів на етапі верифікації білого списку, де існували два ризики безпеки: підробка та повторне використання підписів. Контракт не зберігав вже використані підписи, а також не перевіряв msg.sender під час передачі параметрів.
Подія Akutar
23 квітня 2022 року проект Akutar через вразливість у контракті призвів до блокування 11,5 тисяч ETH( приблизно на 3,4 мільйона доларів США). Основні проблеми полягали в двох логічних аспектах: функцію повернення коштів можна було зловмисно перервати; не було враховано ситуацію з багаторазовими ставками користувачів, що призвело до неможливості виконання повернення коштів.
Подія XCarnival
24 червня 2022 року протокол кредитування NFT XCarnival був атакований, внаслідок чого було втрачено близько 3,8 мільйона доларів. Уразливість полягала в тому, що при заставі NFT не перевіряли адресу xToken, а також при кредитуванні не перевіряли стан заставних записів, що дозволило зловмиснику повторно використовувати недійсні застави для отримання кредиту.
Загальні питання щодо аудиту NFT-контрактів
Використання та повторне використання підписів:
Логічна вразливість:
Атака повторного входу ERC721/ERC1155:
Занадто великий обсяг повноважень:
Маніпуляція цінами:
У зв'язку з частими інцидентами безпеки контрактів NFT та тим, що загальні вразливості, виявлені під час аудиту, часто співпадають з реальними атаками, команди проектів повинні приділяти увагу безпеці контрактів і шукати професійні аудиторські послуги для зменшення ризиків безпеки.