NFT Sözleşme Güvenlik Analizi: İlk Yarıdaki Ana Olaylar ve Yaygın Sorunlar
2022 yılının ilk yarısında, NFT alanında birçok güvenlik olayı meydana geldi ve bu durum büyük kayıplara neden oldu. Verilere göre, bu süre zarfında toplam 10 ana NFT güvenlik olayı gerçekleşti ve toplam kayıp yaklaşık 64.9 milyon dolar oldu. Saldırı yöntemleri arasında sözleşme açıklarının kullanımı, özel anahtarların sızdırılması ve kimlik avı gibi yöntemler bulunuyor. Dikkate değer bir nokta, Discord platformundaki kimlik avı olaylarının sıkça yaşanması; neredeyse her gün sunucular saldırıya uğruyor ve bu durum bireysel kullanıcıların sık sık kayıplar yaşamasına yol açıyor.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart'ta, TreasureDAO ticaret platformu saldırıya uğradı ve 100'den fazla NFT çalındı. Bunun nedeni, akdın mantık açığına sahip olması ve ERC-1155 ile ERC-721 tokenlarının karışık şekilde kullanılmasıdır. Akd, token türünü kontrol etmemiş ve ERC-20 tokenı için ödeme miktarı 0 olduğunda token satın alınmasına izin vermiştir.
APE Coin airdrop olayı
17 Mart'ta, bir hacker, flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, airdrop sözleşmesinin yalnızca anlık durumu kullanarak NFT sahipliğini belirlemesinden kaynaklanıyordu ve bu durum flash kredi ile manipüle edilebiliyordu.
Revest Finance olayı
27 Mart'ta, Revest Finance saldırıya uğradı ve 120.000 ABD Doları kaybetti. Sebebi ERC-1155 yeniden giriş açığıydı; sözleşme yeni FNFT'ler basılırken mevcut olup olmadığını kontrol etmedi ve durum değişkeninin artırılması basım fonksiyonundan sonra gerçekleşti, bu da yeniden giriş saldırısına yol açtı.
NBA koyun yününü alma olayı
21 Nisan'da, NBA projesi saldırıya uğradı. Sorun, beyaz liste doğrulama imza kontrol yöntemindeydi; imza kötüye kullanımı ve yeniden kullanımı gibi iki güvenlik açığı bulunmaktaydı.
Akutar olayı
23 Nisan'da, Akutar projesinin sözleşme açığı 34 milyon dolarlık varlıkların kilitlenmesine neden oldu. Ana sebep, geri ödeme fonksiyonundaki mantık hatasıydı; kullanıcıların birden fazla NFT teklif edebileceği durumu dikkate almadı.
XCarnival olayı
24 Haziran'da, XCarnival saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybetti. Açık, sözleşmenin teminat olarak yatırılan NFT'nin xToken adresinin geçerliliğini kontrol etmemesi ve teminat kayıt durumunu denetlememesi.
NFT Sözleşmesi Sıkça Sorulan Sorular
İmza taklidi ve yeniden kullanımı: Tekrar yürütme doğrulaması eksik, imza kontrolü mantıksız.
Mantık Açığı: Yöneticiler toplam miktar kısıtlamasını atlayarak para basabilir, açık artırmada işlem sırası bağımlılığına dayanan saldırı riski bulunmaktadır.
ERC721/ERC1155 yeniden giriş saldırısı: Transfer bildirim işlevinin kullanılması yeniden girişe neden olabilir.
Yetki kapsamı çok geniş: Tek bir token yetkisi yerine küresel yetki talep etmek, NFT'nin çalınma riskini artırır.
Fiyat manipülasyonu: NFT fiyatı, dış sözleşmelerin token miktarına bağımlıdır ve ani kredilerden etkilenmeye açıktır.
Bu yaygın sorunlar göz önüne alındığında, NFT sözleşmelerinin profesyonel güvenlik denetimi son derece önemlidir. Proje ekipleri, potansiyel büyük kayıpları önlemek için sözleşme güvenliğine önem vermelidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
10 Likes
Reward
10
4
Repost
Share
Comment
0/400
BearMarketSurvivor
· 14h ago
Sözleşme açıkları her yıl var, kaybeden enayiler her gün insanları enayi yerine koymak.
View OriginalReply0
HashBandit
· 08-09 15:37
bruh, aynı eski sözleşme karmaşası... 2017'de gpu madencilik rigimin yanmasını hatırlatıyor smh
View OriginalReply0
WalletDivorcer
· 08-09 15:24
Kimde cüzdan yok?
View OriginalReply0
ZeroRushCaptain
· 08-09 15:22
Kayıplar, ışık hızında sıfıra düşen bir para çekme makinesi, artık balık havuzu tarafından enayileri oyuna getirmek için kullanılıyor.
NFT sözleşmesi güvenlik uyarısı: 2022'nin ilk yarısı olay incelemesi ve risk analizi
NFT Sözleşme Güvenlik Analizi: İlk Yarıdaki Ana Olaylar ve Yaygın Sorunlar
2022 yılının ilk yarısında, NFT alanında birçok güvenlik olayı meydana geldi ve bu durum büyük kayıplara neden oldu. Verilere göre, bu süre zarfında toplam 10 ana NFT güvenlik olayı gerçekleşti ve toplam kayıp yaklaşık 64.9 milyon dolar oldu. Saldırı yöntemleri arasında sözleşme açıklarının kullanımı, özel anahtarların sızdırılması ve kimlik avı gibi yöntemler bulunuyor. Dikkate değer bir nokta, Discord platformundaki kimlik avı olaylarının sıkça yaşanması; neredeyse her gün sunucular saldırıya uğruyor ve bu durum bireysel kullanıcıların sık sık kayıplar yaşamasına yol açıyor.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart'ta, TreasureDAO ticaret platformu saldırıya uğradı ve 100'den fazla NFT çalındı. Bunun nedeni, akdın mantık açığına sahip olması ve ERC-1155 ile ERC-721 tokenlarının karışık şekilde kullanılmasıdır. Akd, token türünü kontrol etmemiş ve ERC-20 tokenı için ödeme miktarı 0 olduğunda token satın alınmasına izin vermiştir.
APE Coin airdrop olayı
17 Mart'ta, bir hacker, flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, airdrop sözleşmesinin yalnızca anlık durumu kullanarak NFT sahipliğini belirlemesinden kaynaklanıyordu ve bu durum flash kredi ile manipüle edilebiliyordu.
Revest Finance olayı
27 Mart'ta, Revest Finance saldırıya uğradı ve 120.000 ABD Doları kaybetti. Sebebi ERC-1155 yeniden giriş açığıydı; sözleşme yeni FNFT'ler basılırken mevcut olup olmadığını kontrol etmedi ve durum değişkeninin artırılması basım fonksiyonundan sonra gerçekleşti, bu da yeniden giriş saldırısına yol açtı.
NBA koyun yününü alma olayı
21 Nisan'da, NBA projesi saldırıya uğradı. Sorun, beyaz liste doğrulama imza kontrol yöntemindeydi; imza kötüye kullanımı ve yeniden kullanımı gibi iki güvenlik açığı bulunmaktaydı.
Akutar olayı
23 Nisan'da, Akutar projesinin sözleşme açığı 34 milyon dolarlık varlıkların kilitlenmesine neden oldu. Ana sebep, geri ödeme fonksiyonundaki mantık hatasıydı; kullanıcıların birden fazla NFT teklif edebileceği durumu dikkate almadı.
XCarnival olayı
24 Haziran'da, XCarnival saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybetti. Açık, sözleşmenin teminat olarak yatırılan NFT'nin xToken adresinin geçerliliğini kontrol etmemesi ve teminat kayıt durumunu denetlememesi.
NFT Sözleşmesi Sıkça Sorulan Sorular
İmza taklidi ve yeniden kullanımı: Tekrar yürütme doğrulaması eksik, imza kontrolü mantıksız.
Mantık Açığı: Yöneticiler toplam miktar kısıtlamasını atlayarak para basabilir, açık artırmada işlem sırası bağımlılığına dayanan saldırı riski bulunmaktadır.
ERC721/ERC1155 yeniden giriş saldırısı: Transfer bildirim işlevinin kullanılması yeniden girişe neden olabilir.
Yetki kapsamı çok geniş: Tek bir token yetkisi yerine küresel yetki talep etmek, NFT'nin çalınma riskini artırır.
Fiyat manipülasyonu: NFT fiyatı, dış sözleşmelerin token miktarına bağımlıdır ve ani kredilerden etkilenmeye açıktır.
Bu yaygın sorunlar göz önüne alındığında, NFT sözleşmelerinin profesyonel güvenlik denetimi son derece önemlidir. Proje ekipleri, potansiyel büyük kayıpları önlemek için sözleşme güvenliğine önem vermelidir.