تحليل أمان عقود NFT: مراجعة الأحداث في النصف الأول من 2022 ومناقشة المشكلات الشائعة
شهد النصف الأول من عام 2022 وضعًا أمنيًا صارمًا في مجال NFT. تشير البيانات إلى وقوع 10 حوادث أمنية رئيسية، مما أسفر عن خسائر تقدر بحوالي 6490 مليون دولار. تشمل أساليب الهجوم بشكل رئيسي استغلال ثغرات العقود، تسريب المفاتيح الخاصة، والتصيد الاحتيالي. ومن الجدير بالذكر أن هجمات التصيد الاحتيالي على منصة Discord تحدث تقريبًا كل يوم، مما يؤدي إلى تعرض المستخدمين الأفراد لخسائر متكررة.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس، تعرضت منصة TreasureDAO للتداول لهجوم، وتمت سرقة أكثر من 100 NFT. كان السبب هو وجود ثغرة منطقية ناتجة عن الخلط بين رموز ERC-1155 وERC-721. لم يميز العقد عند معالجة شراء الرموز بين نوع الرمز، مما سمح للمهاجمين باستخدام رموز ERC-20 لشراء NFT بتكلفة صفر.
حدث توزيع عملة APE
في 17 مارس، حصل قراصنة على أكثر من 60000 قطعة من APE Coin عبر اقتراض سريع. كانت الثغرة ناتجة عن استخدام عقد الإطلاق لحالة فورية للتحقق من ملكية NFT، والتي يمكن التلاعب بها من خلال الاقتراض السريع.
فعالية Revest Finance
في 27 مارس، تعرضت Revest Finance لهجوم، وخسرت 120,000 دولار. كانت هذه هجمة إعادة دخول نموذج ERC-1155 نموذجية، حيث لم يتم التعامل مع ترتيب تحديث الحالة بشكل صحيح عند سك FNFT جديد.
حدث استغلال NBA
في 21 أبريل، تعرض مشروع NBA لهجوم. كانت المشكلة في آلية توقيع التحقق من القائمة البيضاء، حيث توجد ثغرتان رئيسيتان: انتحال التوقيع وإعادة استخدامه.
حدث أكوتار
في 23 أبريل، تم قفل 11539 ETH (حوالي 34 مليون دولار أمريكي) بسبب ثغرة في عقد مشروع Akutar. تشمل المشكلات الرئيسية عيوب تصميم دالة الاسترداد وعدم أخذ في الاعتبار حالة تقديم العطاءات المتعددة من قبل المستخدمين.
حدث XCarnival
في 24 يونيو، تعرضت XCarnival للهجوم، مما أدى إلى خسارة 3087 ETH (حوالي 3.8 مليون دولار). كانت الثغرة في عدم التحقق من شرعية عنوان xToken عند رهن NFT، وعدم فحص حالة سجل الرهن عند الاقتراض.
مشكلات الأمان الشائعة في عقود NFT
انتحال التوقيع وإعادة استخدامه:
عدم وجود تحقق من التنفيذ المتكرر
منطق التحقق من التوقيع غير دقيق
ثغرة منطقية:
التحكم في إجمالي كمية العملات غير صحيح
ترتيب المعاملات في عملية المزاد يعتمد على الهجمات
هجوم إعادة الإدخال ERC721/ERC1155:
قد تؤدي ميزة إشعار التحويل إلى إعادة الدخول
نطاق التفويض واسع جداً:
التفويض العالمي غير الضروري يزيد من مخاطر سرقة NFT
تحكم الأسعار:
تعتمد أسعار NFT على عوامل خارجية، وهي عرضة للتأثير من وسائل مثل القروض السريعة.
نظرًا لتعقيد عقود NFT والمخاطر المحتملة، من الضروري البحث عن شركة أمان محترفة لإجراء تدقيق شامل لتجنب المخاطر الأمنية المحتملة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 10
أعجبني
10
3
مشاركة
تعليق
0/400
PumpStrategist
· 07-31 16:38
حالات نموذجية من الحمقى الذين تم خداعهم لتحقيق الربح، حيث تركزت الرهانات في أعلى المستويات دون النظر.
شاهد النسخة الأصليةرد0
ConsensusDissenter
· 07-31 16:17
6490 مليون دولار تمت سرقتها، حقاً أمر غير معقول
شاهد النسخة الأصليةرد0
MemeKingNFT
· 07-31 16:09
بين تقلبات البر الرئيسي، يشعر الحمقى بالحزن، ويشتاقون لبراءة بداية السوق الصاعدة.
تحليل مخاطر أمان عقود NFT: الدروس المستفادة من خسارة 64.9 مليون دولار في النصف الأول من عام 2022
تحليل أمان عقود NFT: مراجعة الأحداث في النصف الأول من 2022 ومناقشة المشكلات الشائعة
شهد النصف الأول من عام 2022 وضعًا أمنيًا صارمًا في مجال NFT. تشير البيانات إلى وقوع 10 حوادث أمنية رئيسية، مما أسفر عن خسائر تقدر بحوالي 6490 مليون دولار. تشمل أساليب الهجوم بشكل رئيسي استغلال ثغرات العقود، تسريب المفاتيح الخاصة، والتصيد الاحتيالي. ومن الجدير بالذكر أن هجمات التصيد الاحتيالي على منصة Discord تحدث تقريبًا كل يوم، مما يؤدي إلى تعرض المستخدمين الأفراد لخسائر متكررة.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس، تعرضت منصة TreasureDAO للتداول لهجوم، وتمت سرقة أكثر من 100 NFT. كان السبب هو وجود ثغرة منطقية ناتجة عن الخلط بين رموز ERC-1155 وERC-721. لم يميز العقد عند معالجة شراء الرموز بين نوع الرمز، مما سمح للمهاجمين باستخدام رموز ERC-20 لشراء NFT بتكلفة صفر.
حدث توزيع عملة APE
في 17 مارس، حصل قراصنة على أكثر من 60000 قطعة من APE Coin عبر اقتراض سريع. كانت الثغرة ناتجة عن استخدام عقد الإطلاق لحالة فورية للتحقق من ملكية NFT، والتي يمكن التلاعب بها من خلال الاقتراض السريع.
فعالية Revest Finance
في 27 مارس، تعرضت Revest Finance لهجوم، وخسرت 120,000 دولار. كانت هذه هجمة إعادة دخول نموذج ERC-1155 نموذجية، حيث لم يتم التعامل مع ترتيب تحديث الحالة بشكل صحيح عند سك FNFT جديد.
حدث استغلال NBA
في 21 أبريل، تعرض مشروع NBA لهجوم. كانت المشكلة في آلية توقيع التحقق من القائمة البيضاء، حيث توجد ثغرتان رئيسيتان: انتحال التوقيع وإعادة استخدامه.
حدث أكوتار
في 23 أبريل، تم قفل 11539 ETH (حوالي 34 مليون دولار أمريكي) بسبب ثغرة في عقد مشروع Akutar. تشمل المشكلات الرئيسية عيوب تصميم دالة الاسترداد وعدم أخذ في الاعتبار حالة تقديم العطاءات المتعددة من قبل المستخدمين.
حدث XCarnival
في 24 يونيو، تعرضت XCarnival للهجوم، مما أدى إلى خسارة 3087 ETH (حوالي 3.8 مليون دولار). كانت الثغرة في عدم التحقق من شرعية عنوان xToken عند رهن NFT، وعدم فحص حالة سجل الرهن عند الاقتراض.
مشكلات الأمان الشائعة في عقود NFT
انتحال التوقيع وإعادة استخدامه:
ثغرة منطقية:
هجوم إعادة الإدخال ERC721/ERC1155:
نطاق التفويض واسع جداً:
تحكم الأسعار:
نظرًا لتعقيد عقود NFT والمخاطر المحتملة، من الضروري البحث عن شركة أمان محترفة لإجراء تدقيق شامل لتجنب المخاطر الأمنية المحتملة.