Аналіз безпеки NFT-контрактів: основні події та поширені проблеми за перше півріччя
У першій половині 2022 року в сфері NFT сталося кілька безпекових інцидентів, що призвели до величезних втрат. За статистичними даними, за цей період сталося 10 основних інцидентів безпеки NFT, загальні втрати склали близько 64,9 мільйона доларів. Основні методи атак включали використання вразливостей контрактів, витік приватних ключів та фішинг. Варто зазначити, що фішинг-інциденти на платформі Discord відбуваються часто, практично щодня сервери зазнають атак, що призводить до частих втрат особистих користувачів.
Аналіз типових інцидентів безпеки
Подія ### TreasureDAO
3 березня платформа торгівлі TreasureDAO зазнала атаки, внаслідок якої було вкрадено більше 100 NFT. Причина полягає в логічній вразливості контракту, що викликала плутанину між токенами ERC-1155 та ERC-721. Контракт не перевіряв типи токенів, що дозволяло купувати токени у випадку, коли сума платежу в токенах ERC-20 дорівнювала 0.
подія аеродропу APE Coin
17 березня хакери скористались闪电贷 для отримання понад 60 тисяч APE Coin у вигляді аеродропу. Уразливість полягала в тому, що контракт аеродропу оцінював право власності на NFT лише за миттєвим статусом, а цей статус можна було маніпулювати за допомогою闪电贷.
Захід Revest Finance
27 березня Revest Finance зазнав атаки, внаслідок якої було втрачено 120 000 доларів. Причина - вразливість повторного входу ERC-1155, контракт під час карбування нових FNFT не перевіряв, чи вже існує, і змінна стану збільшувалася після функції карбування, що призвело до атаки повторного входу.
NBA випадок "халяви"
21 квітня проект НБА зазнав атаки. Проблема полягала в способі перевірки підпису верифікації білого списку, де існували два ризики безпеки: підробка підпису та повторне використання.
Подія Akutar
23 квітня внаслідок вразливості контракту проекту Akutar було заблоковано активи на суму 34 мільйони доларів. Основною причиною є логічна помилка у функції повернення коштів, яка не враховувала можливість того, що користувачі можуть подавати заявки на кілька NFT.
Подія XCarnival
24 червня XCarnival зазнав атаки, внаслідок якої було втрачено близько 3,8 мільйона доларів. Вразливість полягала в тому, що контракт не перевіряв дійсність адреси xToken для заставлених NFT, а також не здійснював перевірку стану заставних записів.
Поширені запитання щодо NFT контрактів
Використання та повторне використання підписів: відсутність повторної перевірки виконання, нерегульована перевірка підпису.
Логічна уразливість: адміністратор може обійти обмеження загальної кількості монет, в аукціоні існує ризик атаки, що залежить від порядку транзакцій.
Напад на повторне введення ERC721/ERC1155: використання функції повідомлення про переказ може призвести до повторного введення.
Занадто широкий обсяг повноважень: вимога глобального доступу замість доступу до окремих токенів збільшує ризик крадіжки NFT.
Маніпуляція цінами: ціна NFT залежить від кількості токенів зовнішнього контракту, що робить її уразливою до впливу флеш-кредитів.
Враховуючи ці цікавості, проведення професійного аудиту безпеки контрактів NFT є особливо важливим. Команда проекту повинна приділяти увагу безпеці контрактів, щоб уникнути потенційних величезних збитків.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
4
Репост
Поділіться
Прокоментувати
0/400
BearMarketSurvivor
· 21год тому
Контрактні вразливості щороку, невдахи щодня обдурюються, як лохи
Переглянути оригіналвідповісти на0
HashBandit
· 08-09 15:37
братан, та сама стара плутанина з контрактами... нагадує мені, як моя майнінг-риг з GPU загорілася в 2017 році, смх
Переглянути оригіналвідповісти на0
WalletDivorcer
· 08-09 15:24
Чий гаманець знову пропав?
Переглянути оригіналвідповісти на0
ZeroRushCaptain
· 08-09 15:22
Програвши гроші до світлової швидкості падіння до нуля, автомат для зняття грошей знову потрапив під обман для дурнів!
Попередження про безпеку NFT-контрактів: огляд подій першої половини 2022 року та аналіз ризиків
Аналіз безпеки NFT-контрактів: основні події та поширені проблеми за перше півріччя
У першій половині 2022 року в сфері NFT сталося кілька безпекових інцидентів, що призвели до величезних втрат. За статистичними даними, за цей період сталося 10 основних інцидентів безпеки NFT, загальні втрати склали близько 64,9 мільйона доларів. Основні методи атак включали використання вразливостей контрактів, витік приватних ключів та фішинг. Варто зазначити, що фішинг-інциденти на платформі Discord відбуваються часто, практично щодня сервери зазнають атак, що призводить до частих втрат особистих користувачів.
Аналіз типових інцидентів безпеки
Подія ### TreasureDAO
3 березня платформа торгівлі TreasureDAO зазнала атаки, внаслідок якої було вкрадено більше 100 NFT. Причина полягає в логічній вразливості контракту, що викликала плутанину між токенами ERC-1155 та ERC-721. Контракт не перевіряв типи токенів, що дозволяло купувати токени у випадку, коли сума платежу в токенах ERC-20 дорівнювала 0.
подія аеродропу APE Coin
17 березня хакери скористались闪电贷 для отримання понад 60 тисяч APE Coin у вигляді аеродропу. Уразливість полягала в тому, що контракт аеродропу оцінював право власності на NFT лише за миттєвим статусом, а цей статус можна було маніпулювати за допомогою闪电贷.
Захід Revest Finance
27 березня Revest Finance зазнав атаки, внаслідок якої було втрачено 120 000 доларів. Причина - вразливість повторного входу ERC-1155, контракт під час карбування нових FNFT не перевіряв, чи вже існує, і змінна стану збільшувалася після функції карбування, що призвело до атаки повторного входу.
NBA випадок "халяви"
21 квітня проект НБА зазнав атаки. Проблема полягала в способі перевірки підпису верифікації білого списку, де існували два ризики безпеки: підробка підпису та повторне використання.
Подія Akutar
23 квітня внаслідок вразливості контракту проекту Akutar було заблоковано активи на суму 34 мільйони доларів. Основною причиною є логічна помилка у функції повернення коштів, яка не враховувала можливість того, що користувачі можуть подавати заявки на кілька NFT.
Подія XCarnival
24 червня XCarnival зазнав атаки, внаслідок якої було втрачено близько 3,8 мільйона доларів. Вразливість полягала в тому, що контракт не перевіряв дійсність адреси xToken для заставлених NFT, а також не здійснював перевірку стану заставних записів.
Поширені запитання щодо NFT контрактів
Використання та повторне використання підписів: відсутність повторної перевірки виконання, нерегульована перевірка підпису.
Логічна уразливість: адміністратор може обійти обмеження загальної кількості монет, в аукціоні існує ризик атаки, що залежить від порядку транзакцій.
Напад на повторне введення ERC721/ERC1155: використання функції повідомлення про переказ може призвести до повторного введення.
Занадто широкий обсяг повноважень: вимога глобального доступу замість доступу до окремих токенів збільшує ризик крадіжки NFT.
Маніпуляція цінами: ціна NFT залежить від кількості токенів зовнішнього контракту, що робить її уразливою до впливу флеш-кредитів.
Враховуючи ці цікавості, проведення професійного аудиту безпеки контрактів NFT є особливо важливим. Команда проекту повинна приділяти увагу безпеці контрактів, щоб уникнути потенційних величезних збитків.