Аналіз безпеки NFT-контрактів: огляд подій першої половини 2022 року та обговорення поширених питань
У першій половині 2022 року безпекова ситуація в сфері NFT була серйозною. Дані свідчать про те, що сталося 10 основних безпекових інцидентів, які призвели до збитків приблизно в 64,9 мільйона доларів. Основними методами атаки були експлуатація вразливостей контрактів, витік приватних ключів та фішинг тощо. Варто зазначити, що фішингові атаки на платформі Discord відбуваються майже щодня, що призводить до частих втрат для особистих користувачів.
Аналіз типових інцидентів безпеки
Подія ### TreasureDAO
3 березня платформа торгівлі TreasureDAO зазнала атаки, внаслідок якої було вкрадено понад 100 NFT. Причиною є логічна уразливість, спричинена змішуванням токенів ERC-1155 та ERC-721. Контракт під час обробки покупки токенів не розрізняв типи токенів, що дозволило зловмисникам використовувати токени ERC-20 для безкоштовної покупки NFT.
Подія аеродропу APE Coin
17 березня хакери отримали понад 60 000 монет APE Coin через флеш-кредити. Уразливість виникла через те, що контракт на аеродроп використовував миттєву перевірку прав власності на NFT, що могло бути маніпульовано за допомогою флеш-кредитів.
Захід Revest Finance
27 березня Revest Finance зазнав атаки, внаслідок якої було втрачено 120 000 доларів. Це типовий повторний напад ERC-1155, оскільки контракт неправильно обробив порядок оновлення стану під час випуску нових FNFT.
NBA хакінг подія
21 квітня проект NBA зазнав атаки. Проблема виникла в механізмі підпису для перевірки білого списку, де існували два основних вразливості: підробка підпису та повторне використання.
Подія Akutar
23 квітня проєкт Akutar через вразливість у контракті призвів до блокування 11539 ETH (приблизно 34 мільйони доларів США). Основні проблеми включають дефекти дизайну функції повернення коштів та не врахування випадків багаторазових ставок користувачів.
подія XCarnival
24 червня XCarnival зазнав атаки, втративши 3087 ETH (близько 3,8 мільйона доларів США). Уразливість полягала в тому, що під час стейкінгу NFT не перевірялася законність адреси xToken, а під час кредитування не перевірялися статуси заставних записів.
Загальні проблеми безпеки контрактів NFT
Підробка та повторне використання підписів:
Відсутня перевірка на повторне виконання
Логіка перевірки підпису не є суворою
Логічні вади:
Неправильне управління загальною кількістю монет
Порядок торгів під час аукціону залежить від атаки
Повторна атака ERC721/ERC1155:
Функція сповіщення про перекази може призвести до повторного входу
Ціна NFT залежить від зовнішніх чинників і підлягає впливу таких методів, як миттєвий кредит.
З огляду на складність контрактів NFT та потенційні ризики, дуже важливо звернутися до професійної компанії з безпеки для проведення всебічного аудиту, щоб запобігти можливим загрозам безпеці.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
3
Поділіться
Прокоментувати
0/400
PumpStrategist
· 07-31 16:38
Типовий випадок невдах, яких обдурили людей, як лохів, Рект. Чіпи зосереджені на високих рівнях, і ніхто не дивиться.
Переглянути оригіналвідповісти на0
ConsensusDissenter
· 07-31 16:17
6490 мільйонів доларів було вкрадено, це справді абсурдно.
Переглянути оригіналвідповісти на0
MemeKingNFT
· 07-31 16:09
Континентальні коливання, невдахи, серце розбите, згадую простоту початку булрана.
Аналіз ризиків безпеки NFT-контрактів: уроки з втрат у 64,9 мільйона доларів у першій половині 2022 року
Аналіз безпеки NFT-контрактів: огляд подій першої половини 2022 року та обговорення поширених питань
У першій половині 2022 року безпекова ситуація в сфері NFT була серйозною. Дані свідчать про те, що сталося 10 основних безпекових інцидентів, які призвели до збитків приблизно в 64,9 мільйона доларів. Основними методами атаки були експлуатація вразливостей контрактів, витік приватних ключів та фішинг тощо. Варто зазначити, що фішингові атаки на платформі Discord відбуваються майже щодня, що призводить до частих втрат для особистих користувачів.
Аналіз типових інцидентів безпеки
Подія ### TreasureDAO
3 березня платформа торгівлі TreasureDAO зазнала атаки, внаслідок якої було вкрадено понад 100 NFT. Причиною є логічна уразливість, спричинена змішуванням токенів ERC-1155 та ERC-721. Контракт під час обробки покупки токенів не розрізняв типи токенів, що дозволило зловмисникам використовувати токени ERC-20 для безкоштовної покупки NFT.
Подія аеродропу APE Coin
17 березня хакери отримали понад 60 000 монет APE Coin через флеш-кредити. Уразливість виникла через те, що контракт на аеродроп використовував миттєву перевірку прав власності на NFT, що могло бути маніпульовано за допомогою флеш-кредитів.
Захід Revest Finance
27 березня Revest Finance зазнав атаки, внаслідок якої було втрачено 120 000 доларів. Це типовий повторний напад ERC-1155, оскільки контракт неправильно обробив порядок оновлення стану під час випуску нових FNFT.
NBA хакінг подія
21 квітня проект NBA зазнав атаки. Проблема виникла в механізмі підпису для перевірки білого списку, де існували два основних вразливості: підробка підпису та повторне використання.
Подія Akutar
23 квітня проєкт Akutar через вразливість у контракті призвів до блокування 11539 ETH (приблизно 34 мільйони доларів США). Основні проблеми включають дефекти дизайну функції повернення коштів та не врахування випадків багаторазових ставок користувачів.
подія XCarnival
24 червня XCarnival зазнав атаки, втративши 3087 ETH (близько 3,8 мільйона доларів США). Уразливість полягала в тому, що під час стейкінгу NFT не перевірялася законність адреси xToken, а під час кредитування не перевірялися статуси заставних записів.
Загальні проблеми безпеки контрактів NFT
Підробка та повторне використання підписів:
Логічні вади:
Повторна атака ERC721/ERC1155:
Занадто великий обсяг повноважень:
Маніпуляція цінами:
З огляду на складність контрактів NFT та потенційні ризики, дуже важливо звернутися до професійної компанії з безпеки для проведення всебічного аудиту, щоб запобігти можливим загрозам безпеці.