أمان عقود NFT: تحليل الأحداث في النصف الأول ومناقشة الأسئلة الشائعة
في النصف الأول من عام 2022، تكررت الحوادث الأمنية في مجال NFT، مما تسبب في خسائر كبيرة. وفقًا لمراقبة منصة البيانات، حدثت 10 حوادث أمنية رئيسية، بلغت خسائرها حوالي 6490 مليون دولار. كانت أساليب الهجوم تشمل بشكل رئيسي استغلال ثغرات العقود، تسرب المفاتيح الخاصة، وهجمات التصيد. من بين ذلك، كانت هجمات التصيد على منصة Discord متفشية بشكل خاص، حيث كانت تتعرض الخوادم للهجوم تقريبًا كل يوم، مما أدى إلى خسائر متكررة للمستخدمين.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس 2022 ، تعرضت منصة TreasureDAO التجارية للاختراق ، وتم سرقة أكثر من 100 NFT. وكان مصدر الثغرة هو مشكلة منطقية في عقد TreasureMarketplaceBuyer. حيث لم يميز العقد بين رموز ERC-1155 و ERC-721 ، مما أدى إلى إمكانية شراء NFT مقابل 0 عملة.
حدث توزيع رموز APE Coin
في 17 مارس 2022، قام هاكر باستخدام قرض فوري للحصول على أكثر من 60000 عملة APE كإسقاط. استخدم عقد إسقاط AirdropGrapesToken حالة فورية لتحديد ملكية المستخدم لـ BAYC/MAYC NFT، واستغلها المهاجمون للتلاعب عبر قرض فوري.
فعالية Revest Finance
في 27 مارس 2022، تعرض Revest Finance للهجوم، وخسر 120,000 دولار. كان الثغرة في هجوم إعادة الدخول على ERC-1155، حيث لم يتم التعامل بشكل صحيح مع متغيرات الحالة في العقد عند سك FNFT جديدة، مما أدى إلى ثغرة إعادة الدخول.
حدث استغلال NBA
في 21 أبريل 2022، تعرض مشروع NBA لعملية اختراق. كانت هناك مشكلات في انتحال وتكرار التوقيع أثناء التحقق من عقد The_Association_Sales في القائمة البيضاء، حيث لم يتم تسجيل التوقيعات المستخدمة والتحقق من msg.sender.
حدث أكوتار
في 23 أبريل 2022، أدى ثغرة في عقد AkuAuction لمشروع Akutar إلى قفل 11539ETH (حوالي 34 مليون دولار أمريكي). كانت هناك مشكلة في منطق استرداد الأموال في العقد، حيث لم تؤخذ في الاعتبار حالات تقديم العطاءات المتعددة من قبل المستخدمين، مما جعل عملية استرداد الأموال غير قابلة للتنفيذ.
حدث XCarnival
في 24 يونيو 2022، تعرضت XCarnival للاختراق، وخسرت 3087 إيثريوم (حوالي 3.8 مليون دولار). لم يتحقق عقد XNFT من صحة عنوان xToken عند رهن NFT، ولم يتم التحقق من حالة سجلات الرهن عند الاقتراض.
الأسئلة الشائعة حول عقود NFT
انتحال التوقيع وإعادة استخدامه:
نقص في التحقق من التنفيذ المتكرر
فحص التوقيع ليس صارمًا
ثغرة منطقية:
التحكم في إجمالي كمية العملات غير صحيح
ترتيب المعاملات أثناء عملية المزاد يعتمد على الهجوم
هجمات إعادة الدخول على ERC721/ERC1155:
قد تتسبب وظيفة إشعار التحويل في إعادة الدخول
نطاق التفويض كبير جدًا:
يتطلب تفويضًا مفرطًا، مما يزيد من مخاطر سرقة NFT
التلاعب بالأسعار:
يعتمد سعر NFT على عوامل يمكن التلاعب بها
نظرًا لتكرار أحداث الأمان المتعلقة بعقود NFT ، فإن تدقيق الأمان المهني يصبح مهمًا بشكل خاص. يجب على الأطراف المعنية بالمشروع أن تعطي أهمية لأمان العقود وأن تسعى إلى مؤسسات محترفة لإجراء تدقيق شامل لتقليل مخاطر الأمان.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 16
أعجبني
16
6
إعادة النشر
مشاركة
تعليق
0/400
WalletDivorcer
· 07-31 14:32
遍地 حمقى还有人 خداع الناس لتحقيق الربح خداع الناس لتحقيق الربح
شاهد النسخة الأصليةرد0
OnchainFortuneTeller
· 07-28 22:52
لقد تم اختراقه مرة أخرى! الديسكورد أصبح جنة لصيد الأسماك.
شاهد النسخة الأصليةرد0
HashRatePhilosopher
· 07-28 15:55
كم من الحمقى يدخلون السوق، يكون هناك هاكر يراقبهم.
شاهد النسخة الأصليةرد0
SchrodingersPaper
· 07-28 15:50
قطع الخسارة لمدة نصف عام ثم وقع حادث أمان، أضحكني ذلك
شاهد النسخة الأصليةرد0
CountdownToBroke
· 07-28 15:48
هذا العقد غير موثوق للغاية، لقد خسرت الكثير.
شاهد النسخة الأصليةرد0
AltcoinAnalyst
· 07-28 15:29
لقد أصبح تشفير البيانات أمرًا ملحًا. إذا استمر الأمر على هذا النحو، فإن TVL سينخفض إلى الصفر.
تكرار المخاطر الأمنية لعقود NFT خسائر تقترب من 65 مليون دولار أمريكي في النصف الأول من العام
أمان عقود NFT: تحليل الأحداث في النصف الأول ومناقشة الأسئلة الشائعة
في النصف الأول من عام 2022، تكررت الحوادث الأمنية في مجال NFT، مما تسبب في خسائر كبيرة. وفقًا لمراقبة منصة البيانات، حدثت 10 حوادث أمنية رئيسية، بلغت خسائرها حوالي 6490 مليون دولار. كانت أساليب الهجوم تشمل بشكل رئيسي استغلال ثغرات العقود، تسرب المفاتيح الخاصة، وهجمات التصيد. من بين ذلك، كانت هجمات التصيد على منصة Discord متفشية بشكل خاص، حيث كانت تتعرض الخوادم للهجوم تقريبًا كل يوم، مما أدى إلى خسائر متكررة للمستخدمين.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس 2022 ، تعرضت منصة TreasureDAO التجارية للاختراق ، وتم سرقة أكثر من 100 NFT. وكان مصدر الثغرة هو مشكلة منطقية في عقد TreasureMarketplaceBuyer. حيث لم يميز العقد بين رموز ERC-1155 و ERC-721 ، مما أدى إلى إمكانية شراء NFT مقابل 0 عملة.
حدث توزيع رموز APE Coin
في 17 مارس 2022، قام هاكر باستخدام قرض فوري للحصول على أكثر من 60000 عملة APE كإسقاط. استخدم عقد إسقاط AirdropGrapesToken حالة فورية لتحديد ملكية المستخدم لـ BAYC/MAYC NFT، واستغلها المهاجمون للتلاعب عبر قرض فوري.
فعالية Revest Finance
في 27 مارس 2022، تعرض Revest Finance للهجوم، وخسر 120,000 دولار. كان الثغرة في هجوم إعادة الدخول على ERC-1155، حيث لم يتم التعامل بشكل صحيح مع متغيرات الحالة في العقد عند سك FNFT جديدة، مما أدى إلى ثغرة إعادة الدخول.
حدث استغلال NBA
في 21 أبريل 2022، تعرض مشروع NBA لعملية اختراق. كانت هناك مشكلات في انتحال وتكرار التوقيع أثناء التحقق من عقد The_Association_Sales في القائمة البيضاء، حيث لم يتم تسجيل التوقيعات المستخدمة والتحقق من msg.sender.
حدث أكوتار
في 23 أبريل 2022، أدى ثغرة في عقد AkuAuction لمشروع Akutar إلى قفل 11539ETH (حوالي 34 مليون دولار أمريكي). كانت هناك مشكلة في منطق استرداد الأموال في العقد، حيث لم تؤخذ في الاعتبار حالات تقديم العطاءات المتعددة من قبل المستخدمين، مما جعل عملية استرداد الأموال غير قابلة للتنفيذ.
حدث XCarnival
في 24 يونيو 2022، تعرضت XCarnival للاختراق، وخسرت 3087 إيثريوم (حوالي 3.8 مليون دولار). لم يتحقق عقد XNFT من صحة عنوان xToken عند رهن NFT، ولم يتم التحقق من حالة سجلات الرهن عند الاقتراض.
الأسئلة الشائعة حول عقود NFT
انتحال التوقيع وإعادة استخدامه:
ثغرة منطقية:
هجمات إعادة الدخول على ERC721/ERC1155:
نطاق التفويض كبير جدًا:
التلاعب بالأسعار:
نظرًا لتكرار أحداث الأمان المتعلقة بعقود NFT ، فإن تدقيق الأمان المهني يصبح مهمًا بشكل خاص. يجب على الأطراف المعنية بالمشروع أن تعطي أهمية لأمان العقود وأن تسعى إلى مؤسسات محترفة لإجراء تدقيق شامل لتقليل مخاطر الأمان.