Безпека NFT-контрактів: Огляд подій першої половини 2022 року та основні моменти аудиту
У першій половині 2022 року в сфері NFT часто траплялися інциденти безпеки, що спричинили величезні економічні втрати. За даними певної платформи безпеки блокчейн, у першій половині року сталося 10 основних інцидентів безпеки NFT, загальні втрати склали близько 64,9 мільйона доларів США. Основні методи атаки включали експлуатацію вразливостей контрактів, витік приватних ключів та фішинг. Варто зазначити, що фішинг в Discord відбувається майже щодня, багато користувачів зазнають втрат через клацання на фішингові посилання.
Аналіз типов безпекових подій
Подія ### TreasureDAO
3 березня 2022 року платформа торгівлі TreasureDAO зазнала хакерської атаки, внаслідок якої було вкрадено понад 100 NFT. Вразливість існувала у функції buyItem контракту TreasureMarketplaceBuyer, через відсутність перевірки типу токенів, що дозволяло купувати токени за умови, що кількість ERC-20 токенів дорівнює 0. Ця проблема виникла через логічну плутанину, спричинену змішуванням токенів ERC-1155 та ERC-721.
APE Coin аерозольна подія
17 березня 2022 року хакери отримали понад 60 тисяч монет APE Coin через флеш-кредити. Вразливість виникла в контракті на повітряні дропи AirdropGrapesToken, який лише перевіряв миттєвий статус власності користувача на NFT, не враховуючи можливі наслідки флеш-кредитів.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнала атаки, внаслідок якої було втрачено близько 120 000 доларів США. Уразливість стосувалася атаки повторного входу ERC-1155, яка виникла у функції depositAdditionalToFNFT() контракту Revest.
NBA хайпування
21 квітня 2022 року, команда NBA зазнала атаки. У контракті The_Association_Sales під час перевірки білого списку були проблеми з підробкою та повторним використанням підписів, не було здійснено зберігання вже використаних підписів та перевірки msg.sender.
Подія Akutar
23 квітня 2022 року контракт AkuAuction проекту Akutar через логічну вразливість призвів до блокування 11539 ETH (приблизно 34 мільйони доларів). Основні проблеми включали неналежне проектування функції повернення коштів та непередбачення ситуації, коли користувачі роблять кілька ставок.
XCarnival подія
24 червня 2022 року протокол кредитування NFT XCarnival був атакований, внаслідок чого було втрачено близько 3,8 мільйона доларів. У функції pledgeAndBorrow контракту XNFT існувала логічна уразливість, яка не забезпечувала належну перевірку адреси xToken та стану запису застави.
Загальні запитання щодо аудиту контрактів NFT
Підробка та повторне використання підписів:
Відсутня перевірка повторного виконання
Перевірка підпису є нераціональною
Логічна помилка:
Неправильний контроль загальної кількості монет
Порядок угод під час аукціону залежить від атаки
Реентраційна атака ERC721/ERC1155:
Функція сповіщення про переказ може призвести до повторного входу
Занадто широкий обсяг повноважень:
Непотрібний ризик глобального авторизації
Маніпуляція цінами:
Ціна NFT залежить від факторів, які легко можуть бути маніпульовані
З огляду на часті випадки безпеки контрактів NFT, команди проектів повинні приділяти увагу аудиту безпеки контрактів, щоб запобігти потенційним ризикам та захистити активи користувачів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
23 лайків
Нагородити
23
9
Поділіться
Прокоментувати
0/400
GhostWalletSleuth
· 07-20 14:42
Знову історія сліз і крові невдах, ах.
Переглянути оригіналвідповісти на0
just_here_for_vibes
· 07-20 14:30
Контракт спочатку потрібно перевірити!
Переглянути оригіналвідповісти на0
GreenCandleCollector
· 07-19 22:51
Знову обман для дурнів
Переглянути оригіналвідповісти на0
BrokenDAO
· 07-17 15:12
Занадто великі кошти, навіть аудит не врятує, суть все ж у людських недоліках.
Переглянути оригіналвідповісти на0
CryptoCross-TalkClub
· 07-17 15:12
Обман для дурнів合约又卷起来了,今晚讲段新相声
Переглянути оригіналвідповісти на0
ILCollector
· 07-17 15:04
Знову сезон обдурювання невдах.
Переглянути оригіналвідповісти на0
ProveMyZK
· 07-17 15:04
Обман для дурнів має безліч прийомів
Переглянути оригіналвідповісти на0
CryptoWageSlave
· 07-17 15:01
Втрата дійсно велика, дивитися боляче.
Переглянути оригіналвідповісти на0
HodlBeliever
· 07-17 14:59
Відсутність контролю ризиків дорівнює хронічному самогубству
Безпека контрактів NFT: у першій половині 2022 року 10 інцидентів призвели до збитків у 6490 мільйонів доларів США
Безпека NFT-контрактів: Огляд подій першої половини 2022 року та основні моменти аудиту
У першій половині 2022 року в сфері NFT часто траплялися інциденти безпеки, що спричинили величезні економічні втрати. За даними певної платформи безпеки блокчейн, у першій половині року сталося 10 основних інцидентів безпеки NFT, загальні втрати склали близько 64,9 мільйона доларів США. Основні методи атаки включали експлуатацію вразливостей контрактів, витік приватних ключів та фішинг. Варто зазначити, що фішинг в Discord відбувається майже щодня, багато користувачів зазнають втрат через клацання на фішингові посилання.
Аналіз типов безпекових подій
Подія ### TreasureDAO
3 березня 2022 року платформа торгівлі TreasureDAO зазнала хакерської атаки, внаслідок якої було вкрадено понад 100 NFT. Вразливість існувала у функції buyItem контракту TreasureMarketplaceBuyer, через відсутність перевірки типу токенів, що дозволяло купувати токени за умови, що кількість ERC-20 токенів дорівнює 0. Ця проблема виникла через логічну плутанину, спричинену змішуванням токенів ERC-1155 та ERC-721.
APE Coin аерозольна подія
17 березня 2022 року хакери отримали понад 60 тисяч монет APE Coin через флеш-кредити. Вразливість виникла в контракті на повітряні дропи AirdropGrapesToken, який лише перевіряв миттєвий статус власності користувача на NFT, не враховуючи можливі наслідки флеш-кредитів.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнала атаки, внаслідок якої було втрачено близько 120 000 доларів США. Уразливість стосувалася атаки повторного входу ERC-1155, яка виникла у функції depositAdditionalToFNFT() контракту Revest.
NBA хайпування
21 квітня 2022 року, команда NBA зазнала атаки. У контракті The_Association_Sales під час перевірки білого списку були проблеми з підробкою та повторним використанням підписів, не було здійснено зберігання вже використаних підписів та перевірки msg.sender.
Подія Akutar
23 квітня 2022 року контракт AkuAuction проекту Akutar через логічну вразливість призвів до блокування 11539 ETH (приблизно 34 мільйони доларів). Основні проблеми включали неналежне проектування функції повернення коштів та непередбачення ситуації, коли користувачі роблять кілька ставок.
XCarnival подія
24 червня 2022 року протокол кредитування NFT XCarnival був атакований, внаслідок чого було втрачено близько 3,8 мільйона доларів. У функції pledgeAndBorrow контракту XNFT існувала логічна уразливість, яка не забезпечувала належну перевірку адреси xToken та стану запису застави.
Загальні запитання щодо аудиту контрактів NFT
Підробка та повторне використання підписів:
Логічна помилка:
Реентраційна атака ERC721/ERC1155:
Занадто широкий обсяг повноважень:
Маніпуляція цінами:
З огляду на часті випадки безпеки контрактів NFT, команди проектів повинні приділяти увагу аудиту безпеки контрактів, щоб запобігти потенційним ризикам та захистити активи користувачів.