Анализ безопасности NFT-контрактов: Основные события и распространенные проблемы за первое полугодие
В первой половине 2022 года в области NFT произошло несколько инцидентов с безопасностью, что привело к огромным потерям. Согласно статистическим данным, в этот период произошло 10 основных инцидентов с безопасностью NFT, общие потери составили около 64,9 миллиона долларов. Основные способы атаки включали эксплуатацию уязвимостей контрактов, утечку приватных ключей и фишинг. Стоит отметить, что на платформе Discord фишинговые инциденты происходят часто, практически каждый день серверы подвергаются атакам, что приводит к частым потерям личных пользователей.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта платформа обмена TreasureDAO подверглась атаке, в результате которой было украдено более 100 NFT. Причина заключается в логической уязвимости контракта, смешении токенов ERC-1155 и ERC-721, что привело к логическому хаосу. Контракт не проводил проверку типа токена, что позволяло покупать токены при сумме оплаты токенов ERC-20 равной 0.
APE Coin аирдроп событие
17 марта хакеры использовали флеш-кредиты для получения более 60 000 монет APE Coin в аирдропе. Уязвимость заключалась в том, что контракт аирдропа определял право собственности на NFT только на основе мгновенного состояния, которое можно было манипулировать с помощью флеш-кредита.
Событие Revest Finance
27 марта Revest Finance подвергся атаке, убытки составили 120 000 долларов. Причиной стала уязвимость повторного входа ERC-1155, контракт при создании нового FNFT не проверял, существует ли он уже, и переменная состояния увеличивалась после функции создания, что привело к атаке повторного входа.
NBA事件 по зарабатыванию денег на羊毛
21 апреля проект NBA подвергся атаке. Проблема заключалась в способе проверки подписи в верификации белого списка, что создало две угрозы безопасности: подделка и повторное использование подписи.
Событие Akutar
23 апреля проект Akutar столкнулся с уязвимостью в контракте, из-за которой активы на сумму 34 миллиона долларов оказались заблокированными. Основная причина — логическая ошибка в функции возврата, не учитывающая возможность, что пользователи могут ставить ставки на несколько NFT.
XCarnival событие
24 июня XCarnival был атакован, потери составили около 3,8 миллиона долларов. Уязвимость заключалась в том, что контракт не проверял действительность адреса xToken для заложенного NFT и не проводил проверку состояния записи залога.
Часто задаваемые вопросы по NFT контрактам
Подделка и повторное использование подписи: отсутствует проверка на повторное выполнение, проверка подписи нерациональна.
Логическая уязвимость: администратор может обойти ограничение общего объема эмиссии, существует риск атаки, зависящей от порядка транзакций на аукционе.
Ребалансировка атаки ERC721/ERC1155: использование функции уведомления о переводе может привести к повторному входу.
Слишком широкий объем полномочий: требование глобального доступа вместо доступа к отдельному токену увеличивает риск кражи NFT.
Манипуляция ценами: Цены на NFT зависят от объема токенов внешних контрактов, что делает их уязвимыми для влияния флеш-займов.
Учитывая эти распространенные вопросы, профессиональный аудит безопасности контрактов NFT становится особенно важным. Команда проекта должна придавать значение безопасности контрактов, чтобы предотвратить потенциальные огромные потери.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
4
Репост
Поделиться
комментарий
0/400
BearMarketSurvivor
· 12ч назад
Дефекты контрактов есть каждый год, неудачники теряют деньги каждый день.
Посмотреть ОригиналОтветить0
HashBandit
· 08-09 15:37
брат, такая же старая путаница с контрактом... напоминает мне о том, как мой майнинг-риг на GPU загорелся в 2017 году, смх
Посмотреть ОригиналОтветить0
WalletDivorcer
· 08-09 15:24
У кого-то снова пропал Кошелек.
Посмотреть ОригиналОтветить0
ZeroRushCaptain
· 08-09 15:22
Машина для вывода денег, которая теряет деньги до скорости падения до нуля, снова была запущена в рыбный пул, чтобы разыгрывать людей как лохов.
NFT контракт безопасность предупреждение: Обзор событий и анализ рисков за первое полугодие 2022 года
Анализ безопасности NFT-контрактов: Основные события и распространенные проблемы за первое полугодие
В первой половине 2022 года в области NFT произошло несколько инцидентов с безопасностью, что привело к огромным потерям. Согласно статистическим данным, в этот период произошло 10 основных инцидентов с безопасностью NFT, общие потери составили около 64,9 миллиона долларов. Основные способы атаки включали эксплуатацию уязвимостей контрактов, утечку приватных ключей и фишинг. Стоит отметить, что на платформе Discord фишинговые инциденты происходят часто, практически каждый день серверы подвергаются атакам, что приводит к частым потерям личных пользователей.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта платформа обмена TreasureDAO подверглась атаке, в результате которой было украдено более 100 NFT. Причина заключается в логической уязвимости контракта, смешении токенов ERC-1155 и ERC-721, что привело к логическому хаосу. Контракт не проводил проверку типа токена, что позволяло покупать токены при сумме оплаты токенов ERC-20 равной 0.
APE Coin аирдроп событие
17 марта хакеры использовали флеш-кредиты для получения более 60 000 монет APE Coin в аирдропе. Уязвимость заключалась в том, что контракт аирдропа определял право собственности на NFT только на основе мгновенного состояния, которое можно было манипулировать с помощью флеш-кредита.
Событие Revest Finance
27 марта Revest Finance подвергся атаке, убытки составили 120 000 долларов. Причиной стала уязвимость повторного входа ERC-1155, контракт при создании нового FNFT не проверял, существует ли он уже, и переменная состояния увеличивалась после функции создания, что привело к атаке повторного входа.
NBA事件 по зарабатыванию денег на羊毛
21 апреля проект NBA подвергся атаке. Проблема заключалась в способе проверки подписи в верификации белого списка, что создало две угрозы безопасности: подделка и повторное использование подписи.
Событие Akutar
23 апреля проект Akutar столкнулся с уязвимостью в контракте, из-за которой активы на сумму 34 миллиона долларов оказались заблокированными. Основная причина — логическая ошибка в функции возврата, не учитывающая возможность, что пользователи могут ставить ставки на несколько NFT.
XCarnival событие
24 июня XCarnival был атакован, потери составили около 3,8 миллиона долларов. Уязвимость заключалась в том, что контракт не проверял действительность адреса xToken для заложенного NFT и не проводил проверку состояния записи залога.
Часто задаваемые вопросы по NFT контрактам
Подделка и повторное использование подписи: отсутствует проверка на повторное выполнение, проверка подписи нерациональна.
Логическая уязвимость: администратор может обойти ограничение общего объема эмиссии, существует риск атаки, зависящей от порядка транзакций на аукционе.
Ребалансировка атаки ERC721/ERC1155: использование функции уведомления о переводе может привести к повторному входу.
Слишком широкий объем полномочий: требование глобального доступа вместо доступа к отдельному токену увеличивает риск кражи NFT.
Манипуляция ценами: Цены на NFT зависят от объема токенов внешних контрактов, что делает их уязвимыми для влияния флеш-займов.
Учитывая эти распространенные вопросы, профессиональный аудит безопасности контрактов NFT становится особенно важным. Команда проекта должна придавать значение безопасности контрактов, чтобы предотвратить потенциальные огромные потери.