Безпека NFT-контрактів: огляд подій першої половини 2022 року та аналіз поширених питань аудиту
У першій половині 2022 року в сфері NFT сталося багато випадків безпеки, що спричинили величезні економічні втрати. За даними платформи моніторингу, сталося 10 основних випадків безпеки, у результаті яких було втрачено близько 6490 мільйонів доларів. Основні способи атак включали використання вразливостей контрактів, витоки приватних ключів і фішинг. Тим часом випадки фішингу в Discord відбуваються майже щодня, особисті користувачі часто зазнають втрат.
Огляд типов безпекових інцидентів
Подія ### TreasureDAO
3 березня 2022 року платформа торгівлі TreasureDAO зазнала хакерської атаки, внаслідок якої було вкрадено понад 100 NFT. Вразливість виникла через заплутану логіку функції buyItem контракту TreasureMarketplaceBuyer, яка не перевіряла тип токена і безпосередньо розраховувала ціну, що призвело до можливості купівлі NFT за 0 ERC-20 токенів. Це відображає можливі логічні проблеми, що виникають при змішуванні токенів ERC-1155 та ERC-721.
Подія аірдропу APE Coin
17 березня 2022 року хакери отримали понад 60 тисяч APE Coin через闪电贷. Контракт на AirdropGrapesToken просто визначає право власності на NFT через balanceOf(), і цей спосіб легко піддається маніпуляціям через闪电贷.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнав атаки, внаслідок якої було втрачено 120 000 доларів США. Уразливість виникла через повторний напад ERC-1155, контракт не перевіряв, чи вже існує новий FNFT під час його карбування, і змінна стану збільшувалася після _mint(), що призвело до повторної уразливості.
NBA махінації
21 квітня 2022 року, проект НБА зазнав атаки. У контракті The_Association_Sales були виявлені проблеми з підробкою та повторним використанням підписів під час перевірки білого списку, не зберігали використані підписи і не перевіряли msg.sender під час передачі параметрів.
Подія Akutar
23 квітня 2022 року, внаслідок уразливості контракту AkuAuction проекту Akutar було заблоковано 11,5 тисяч ETH. Основними проблемами були дві логічні помилки: функцію повернення коштів можна було зловмисно перервати; не було враховано ситуацію з багаторазовими ставками користувачів, що призвело до неможливості виконання повернення.
Подія XCarnival
24 червня 2022 року XCarnival зазнав атаки, внаслідок якої було втрачено 3087 ETH. Контракт XNFT під час стейкингу NFT не перевіряв адресу xToken, а при кредитуванні не перевіряв статус застави, що призвело до того, що зловмисники могли неодноразово використовувати недійсну заставу для кредитування.
Поширені запитання щодо аудиту контрактів NFT
Підробка та повторне використання підпису: відсутність перевірки на повторне виконання; нерегулярна перевірка підпису.
Логічна вразливість: адміністратор може обійти обмеження на загальну кількість монет; під час аукціону існує атака, залежна від порядку угод.
Атака повторного входу ERC721/ERC1155: може призвести до повторного входу при використанні функції сповіщення про переказ.
Занадто широкий обсяг повноважень: вимога глобального дозволу, а не дозволу на окремий токен, підвищує ризик крадіжки NFT.
Маніпуляція цінами: ціна NFT залежить від кількості токенів певного контракту, може бути маніпульована за допомогою миттєвих кредитів.
У загальному, часті інциденти безпеки контрактів NFT відображають важливість професійного аудиту безпеки. Команди проектів повинні приділяти увагу безпеці контрактів, шукати професійний аудит для запобігання потенційним ризикам.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
6
Репост
Поділіться
Прокоментувати
0/400
CommunitySlacker
· 12год тому
Виявляється, з контрактних вразливостей можна зібрати так багато вовни.
Переглянути оригіналвідповісти на0
OnChainDetective
· 12год тому
інший день, інший злочин... аналіз шаблонів вказує на 90% через основні недоліки контракту smh
Переглянути оригіналвідповісти на0
NotFinancialAdviser
· 12год тому
Майже втратив усі гроші, будьте обережні з інвестиціями
Переглянути оригіналвідповісти на0
RebaseVictim
· 12год тому
Блокчейн обдурює великих інвесторів. Мати гроші все ще варто слідувати за NFT.
Переглянути оригіналвідповісти на0
ImpermanentLossFan
· 12год тому
60k доларів, а знову заробив. Жах.
Переглянути оригіналвідповісти на0
ApyWhisperer
· 12год тому
Знову бачимо вразливість смартконтрактів, тьфу-тьфу.
Вразливості в контрактах NFT трапляються часто, у першій половині 2022 року втрати склали 6490 мільйонів доларів.
Безпека NFT-контрактів: огляд подій першої половини 2022 року та аналіз поширених питань аудиту
У першій половині 2022 року в сфері NFT сталося багато випадків безпеки, що спричинили величезні економічні втрати. За даними платформи моніторингу, сталося 10 основних випадків безпеки, у результаті яких було втрачено близько 6490 мільйонів доларів. Основні способи атак включали використання вразливостей контрактів, витоки приватних ключів і фішинг. Тим часом випадки фішингу в Discord відбуваються майже щодня, особисті користувачі часто зазнають втрат.
Огляд типов безпекових інцидентів
Подія ### TreasureDAO
3 березня 2022 року платформа торгівлі TreasureDAO зазнала хакерської атаки, внаслідок якої було вкрадено понад 100 NFT. Вразливість виникла через заплутану логіку функції buyItem контракту TreasureMarketplaceBuyer, яка не перевіряла тип токена і безпосередньо розраховувала ціну, що призвело до можливості купівлі NFT за 0 ERC-20 токенів. Це відображає можливі логічні проблеми, що виникають при змішуванні токенів ERC-1155 та ERC-721.
Подія аірдропу APE Coin
17 березня 2022 року хакери отримали понад 60 тисяч APE Coin через闪电贷. Контракт на AirdropGrapesToken просто визначає право власності на NFT через balanceOf(), і цей спосіб легко піддається маніпуляціям через闪电贷.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнав атаки, внаслідок якої було втрачено 120 000 доларів США. Уразливість виникла через повторний напад ERC-1155, контракт не перевіряв, чи вже існує новий FNFT під час його карбування, і змінна стану збільшувалася після _mint(), що призвело до повторної уразливості.
NBA махінації
21 квітня 2022 року, проект НБА зазнав атаки. У контракті The_Association_Sales були виявлені проблеми з підробкою та повторним використанням підписів під час перевірки білого списку, не зберігали використані підписи і не перевіряли msg.sender під час передачі параметрів.
Подія Akutar
23 квітня 2022 року, внаслідок уразливості контракту AkuAuction проекту Akutar було заблоковано 11,5 тисяч ETH. Основними проблемами були дві логічні помилки: функцію повернення коштів можна було зловмисно перервати; не було враховано ситуацію з багаторазовими ставками користувачів, що призвело до неможливості виконання повернення.
Подія XCarnival
24 червня 2022 року XCarnival зазнав атаки, внаслідок якої було втрачено 3087 ETH. Контракт XNFT під час стейкингу NFT не перевіряв адресу xToken, а при кредитуванні не перевіряв статус застави, що призвело до того, що зловмисники могли неодноразово використовувати недійсну заставу для кредитування.
Поширені запитання щодо аудиту контрактів NFT
Підробка та повторне використання підпису: відсутність перевірки на повторне виконання; нерегулярна перевірка підпису.
Логічна вразливість: адміністратор може обійти обмеження на загальну кількість монет; під час аукціону існує атака, залежна від порядку угод.
Атака повторного входу ERC721/ERC1155: може призвести до повторного входу при використанні функції сповіщення про переказ.
Занадто широкий обсяг повноважень: вимога глобального дозволу, а не дозволу на окремий токен, підвищує ризик крадіжки NFT.
Маніпуляція цінами: ціна NFT залежить від кількості токенів певного контракту, може бути маніпульована за допомогою миттєвих кредитів.
У загальному, часті інциденти безпеки контрактів NFT відображають важливість професійного аудиту безпеки. Команди проектів повинні приділяти увагу безпеці контрактів, шукати професійний аудит для запобігання потенційним ризикам.