تحليل أمان عقود NFT: الأحداث الرئيسية في النصف الأول والأسئلة الشائعة
في النصف الأول من عام 2022، حدثت عدة أحداث أمنية في مجال NFT، مما تسبب في خسائر ضخمة. وفقًا للإحصائيات، حدثت 10 حوادث رئيسية تتعلق بأمان NFT خلال هذه الفترة، وبلغت إجمالي الخسائر حوالي 64.9 مليون دولار. كانت طرق الهجوم الرئيسية تشمل استغلال ثغرات العقود، تسرب المفاتيح الخاصة، والتصيد. ومن الجدير بالذكر أن حوادث التصيد على منصة Discord كانت متكررة، حيث كانت تتعرض الخوادم للهجوم تقريبًا كل يوم، مما أدى إلى خسائر متكررة للمستخدمين الأفراد.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس، تعرضت منصة TreasureDAO للتداول لهجوم، وتم سرقة أكثر من 100 NFT. السبب هو وجود ثغرة منطقية في العقد، حيث أدى استخدام رموز ERC-1155 و ERC-721 معًا إلى فوضى منطقية. لم يقم العقد بالتحقق من نوع الرمز، مما سمح بشراء الرموز في حالة كانت قيمة الدفع من رموز ERC-20 تساوي 0.
حدث توزيع عملة APE
في 17 مارس، استغل القراصنة قرض الفلاش للحصول على أكثر من 60000 قطعة من عملة APE Coin الموزعة. كانت الثغرة في عقد التوزيع التي كانت تحدد ملكية NFTs فقط من خلال الحالة الفورية، والتي يمكن التلاعب بها بواسطة قرض الفلاش.
فعالية Revest Finance
في 27 مارس، تعرضت Revest Finance للهجوم، مما أدى إلى خسارة قدرها 120,000 دولار. كانت الأسباب هي ثغرة إعادة الدخول في ERC-1155، حيث لم يتحقق العقد عند سك FNFT جديدة مما إذا كانت موجودة بالفعل، وزادت المتغيرات الحالة بعد دالة السك، مما أدى إلى هجوم إعادة الدخول.
حدث استغلال NBA
في 21 أبريل، تعرض مشروع NBA لهجوم. المشكلة تكمن في طريقة التحقق من توقيع قائمة الانتظار، حيث يوجد خطران أمنيان هما انتحال التوقيع وإعادة استخدامه.
حدث أكوتار
في 23 أبريل، أدى ثغرة في عقد مشروع Akutar إلى تجميد أصول بقيمة 34 مليون دولار. السبب الرئيسي هو خطأ في منطق وظيفة الاسترداد، حيث لم يتم أخذ في الاعتبار إمكانية تقديم المستخدمين لعروض متعددة على عدة NFT.
حدث XCarnival
في 24 يونيو، تعرضت XCarnival لهجوم تكبدت خسائر تبلغ حوالي 3.8 مليون دولار. كانت الثغرة في عدم فحص صلاحية عنوان xToken لنظام NFT المرهون، وعدم التحقق من حالة سجلات الرهن.
أسئلة شائعة حول عقد NFT
انتحال الهوية والتكرار: نقص في التحقق من التنفيذ المتكرر، وفحص التوقيع غير منطقي.
ثغرات منطقية: يمكن للمسؤولين تجاوز حد الكمية المسموح بها للتعدين، وهناك مخاطر لوجود هجمات تعتمد على تسلسل المعاملات في المزاد.
هجوم إعادة الدخول على ERC721/ERC1155: قد يؤدي استخدام وظيفة إشعار التحويل إلى إعادة الدخول.
نطاق التفويض واسع جداً: يتطلب تفويضاً عالمياً بدلاً من تفويض رمز فردي، مما يزيد من خطر سرقة NFT.
التحكم في الأسعار: تعتمد أسعار NFT على كمية رموز العقود الخارجية، مما يجعلها عرضة لتأثير القروض السريعة.
نظرًا لهذه المشكلات الشائعة، فإن إجراء تدقيق أمني احترافي لعقود NFT يصبح أمرًا بالغ الأهمية. يجب على المشروع أن يولي أهمية لأمان العقد لتجنب الخسائر الكبيرة المحتملة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 8
أعجبني
8
3
إعادة النشر
مشاركة
تعليق
0/400
HashBandit
· 08-09 15:37
يا رجل، نفس الفوضى القديمة في العقود... تذكرني بجهاز تعدين GPU الخاص بي الذي اشتعلت فيه النيران في عام 2017، آآه
شاهد النسخة الأصليةرد0
WalletDivorcer
· 08-09 15:24
من الذي فقد المحفظة مرة أخرى؟
شاهد النسخة الأصليةرد0
ZeroRushCaptain
· 08-09 15:22
آلة السحب التي تخسر المال بسرعة إلى الصفر، تم استغلالها بغباء مرة أخرى من قبل بركة السمك.
تحذير أمان عقد NFT: مراجعة الأحداث وتحليل المخاطر للنصف الأول من عام 2022
تحليل أمان عقود NFT: الأحداث الرئيسية في النصف الأول والأسئلة الشائعة
في النصف الأول من عام 2022، حدثت عدة أحداث أمنية في مجال NFT، مما تسبب في خسائر ضخمة. وفقًا للإحصائيات، حدثت 10 حوادث رئيسية تتعلق بأمان NFT خلال هذه الفترة، وبلغت إجمالي الخسائر حوالي 64.9 مليون دولار. كانت طرق الهجوم الرئيسية تشمل استغلال ثغرات العقود، تسرب المفاتيح الخاصة، والتصيد. ومن الجدير بالذكر أن حوادث التصيد على منصة Discord كانت متكررة، حيث كانت تتعرض الخوادم للهجوم تقريبًا كل يوم، مما أدى إلى خسائر متكررة للمستخدمين الأفراد.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس، تعرضت منصة TreasureDAO للتداول لهجوم، وتم سرقة أكثر من 100 NFT. السبب هو وجود ثغرة منطقية في العقد، حيث أدى استخدام رموز ERC-1155 و ERC-721 معًا إلى فوضى منطقية. لم يقم العقد بالتحقق من نوع الرمز، مما سمح بشراء الرموز في حالة كانت قيمة الدفع من رموز ERC-20 تساوي 0.
حدث توزيع عملة APE
في 17 مارس، استغل القراصنة قرض الفلاش للحصول على أكثر من 60000 قطعة من عملة APE Coin الموزعة. كانت الثغرة في عقد التوزيع التي كانت تحدد ملكية NFTs فقط من خلال الحالة الفورية، والتي يمكن التلاعب بها بواسطة قرض الفلاش.
فعالية Revest Finance
في 27 مارس، تعرضت Revest Finance للهجوم، مما أدى إلى خسارة قدرها 120,000 دولار. كانت الأسباب هي ثغرة إعادة الدخول في ERC-1155، حيث لم يتحقق العقد عند سك FNFT جديدة مما إذا كانت موجودة بالفعل، وزادت المتغيرات الحالة بعد دالة السك، مما أدى إلى هجوم إعادة الدخول.
حدث استغلال NBA
في 21 أبريل، تعرض مشروع NBA لهجوم. المشكلة تكمن في طريقة التحقق من توقيع قائمة الانتظار، حيث يوجد خطران أمنيان هما انتحال التوقيع وإعادة استخدامه.
حدث أكوتار
في 23 أبريل، أدى ثغرة في عقد مشروع Akutar إلى تجميد أصول بقيمة 34 مليون دولار. السبب الرئيسي هو خطأ في منطق وظيفة الاسترداد، حيث لم يتم أخذ في الاعتبار إمكانية تقديم المستخدمين لعروض متعددة على عدة NFT.
حدث XCarnival
في 24 يونيو، تعرضت XCarnival لهجوم تكبدت خسائر تبلغ حوالي 3.8 مليون دولار. كانت الثغرة في عدم فحص صلاحية عنوان xToken لنظام NFT المرهون، وعدم التحقق من حالة سجلات الرهن.
أسئلة شائعة حول عقد NFT
انتحال الهوية والتكرار: نقص في التحقق من التنفيذ المتكرر، وفحص التوقيع غير منطقي.
ثغرات منطقية: يمكن للمسؤولين تجاوز حد الكمية المسموح بها للتعدين، وهناك مخاطر لوجود هجمات تعتمد على تسلسل المعاملات في المزاد.
هجوم إعادة الدخول على ERC721/ERC1155: قد يؤدي استخدام وظيفة إشعار التحويل إلى إعادة الدخول.
نطاق التفويض واسع جداً: يتطلب تفويضاً عالمياً بدلاً من تفويض رمز فردي، مما يزيد من خطر سرقة NFT.
التحكم في الأسعار: تعتمد أسعار NFT على كمية رموز العقود الخارجية، مما يجعلها عرضة لتأثير القروض السريعة.
نظرًا لهذه المشكلات الشائعة، فإن إجراء تدقيق أمني احترافي لعقود NFT يصبح أمرًا بالغ الأهمية. يجب على المشروع أن يولي أهمية لأمان العقد لتجنب الخسائر الكبيرة المحتملة.