Безопасность NFT-контрактов: анализ событий первой половины года и обсуждение часто задаваемых вопросов
В первой половине 2022 года в области NFT произошло множество инцидентов безопасности, что привело к огромным потерям. По данным мониторинга платформы, произошло 10 основных инцидентов безопасности, ущерб составил около 6490 миллионов долларов. Основные методы атак включали использование уязвимостей контрактов, утечку приватных ключей и фишинг. При этом фишинг-атаки на платформе Discord были особенно распространены, практически ежедневно сервера подвергались атакам, что приводило к частым потерям для пользователей.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта 2022 года платформа обмена TreasureDAO подверглась хакерской атаке, в результате которой было украдено более 100 NFT. Уязвимость возникла из-за логической ошибки в контракте TreasureMarketplaceBuyer. Контракт не различал токены ERC-1155 и ERC-721, что позволяло покупать NFT, не заплачивая токены.
APE Coin аирдроп событие
17 марта 2022 года хакеры использовали флэш-кредиты для получения более 60 000 монет APE Coin в результате аирдропа. Контракт на аирдроп GrapesToken использовал мгновенную проверку состояния для определения прав собственности пользователей на NFT BAYC/MAYC, и был манипулирован атакующими с помощью флэш-кредита.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся атаке, в результате которой были потеряны 120000 долларов США. Уязвимость возникла в результате повторного входа в атаку ERC-1155, когда контракт некорректно обрабатывал переменные состояния при создании нового FNFT, что привело к уязвимости повторного входа.
NBA хайп-мероприятие
21 апреля 2022 года проект НБА подвергся хакерской атаке. В контракте The_Association_Sales при проверке в белом списке возникли проблемы с подделкой и повторным использованием подписей, не была проведена запись использованных подписей и проверка msg.sender.
Событие Akutar
23 апреля 2022 года у контракта AkuAuction проекта Akutar произошла уязвимость, в результате которой было заблокировано 11539 ETH (около 34 миллионов долларов). В контракте была проблема с логикой возврата, не учитывающая ситуацию с многократными ставками пользователей, что сделало операцию возврата невозможной.
Событие XCarnival
24 июня 2022 года XCarnival подвергся атаке, в результате чего было потеряно 3087 эфиров (примерно 3,8 миллиона долларов). Контракт XNFT не проверял законность адреса xToken при ставке NFT и не проверял статус залоговой записи при заимствовании.
Часто задаваемые вопросы о NFT-контрактах
Подделка и повторное использование подписей:
Отсутствует проверка на повторное выполнение
Проверка подписи не строга
Логическая уязвимость:
Неправильный контроль за общим количеством выпускаемых монет
Порядок сделок в процессе аукциона зависит от атаки
Реинвазивная атака ERC721/ERC1155:
Функция уведомления о переводах может привести к повторному входу
Область полномочий слишком велика:
Требуется чрезмерное разрешение, что увеличивает риск кражи NFT
Манипуляция ценами:
Цена NFT зависит от факторов, подверженных манипуляциям
Учитывая частые инциденты безопасности NFT-контрактов, профессиональный аудит безопасности становится особенно важным. Команды проектов должны уделять внимание безопасности контрактов и обращаться к профессиональным организациям для проведения комплексного аудита, чтобы снизить риски безопасности.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
6
Репост
Поделиться
комментарий
0/400
WalletDivorcer
· 07-31 14:32
Повсюду неудачники, а кто-то разыгрывает людей как лохов. Разыгрывайте людей как лохов.
Посмотреть ОригиналОтветить0
OnchainFortuneTeller
· 07-28 22:52
Снова начали взламывать! Discord стал настоящим раем для фишеров.
Посмотреть ОригиналОтветить0
HashRatePhilosopher
· 07-28 15:55
Сколько неудачников поднялось на борт, столько Хакеров и следят.
Посмотреть ОригиналОтветить0
SchrodingersPaper
· 07-28 15:50
Сокращение потерь полгода, и снова разыгрывайте людей как лохов, смеюсь до слез.
Посмотреть ОригиналОтветить0
CountdownToBroke
· 07-28 15:48
Этот контракт слишком плохой, я сильно потерял.
Посмотреть ОригиналОтветить0
AltcoinAnalyst
· 07-28 15:29
Шифрование данных стало настоятельной необходимостью. Если так продолжится, TVL упадет до нуля.
Частые проблемы с безопасностью NFT-контрактов, убытки за первое полугодие составили почти 65 миллионов долларов.
Безопасность NFT-контрактов: анализ событий первой половины года и обсуждение часто задаваемых вопросов
В первой половине 2022 года в области NFT произошло множество инцидентов безопасности, что привело к огромным потерям. По данным мониторинга платформы, произошло 10 основных инцидентов безопасности, ущерб составил около 6490 миллионов долларов. Основные методы атак включали использование уязвимостей контрактов, утечку приватных ключей и фишинг. При этом фишинг-атаки на платформе Discord были особенно распространены, практически ежедневно сервера подвергались атакам, что приводило к частым потерям для пользователей.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта 2022 года платформа обмена TreasureDAO подверглась хакерской атаке, в результате которой было украдено более 100 NFT. Уязвимость возникла из-за логической ошибки в контракте TreasureMarketplaceBuyer. Контракт не различал токены ERC-1155 и ERC-721, что позволяло покупать NFT, не заплачивая токены.
APE Coin аирдроп событие
17 марта 2022 года хакеры использовали флэш-кредиты для получения более 60 000 монет APE Coin в результате аирдропа. Контракт на аирдроп GrapesToken использовал мгновенную проверку состояния для определения прав собственности пользователей на NFT BAYC/MAYC, и был манипулирован атакующими с помощью флэш-кредита.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся атаке, в результате которой были потеряны 120000 долларов США. Уязвимость возникла в результате повторного входа в атаку ERC-1155, когда контракт некорректно обрабатывал переменные состояния при создании нового FNFT, что привело к уязвимости повторного входа.
NBA хайп-мероприятие
21 апреля 2022 года проект НБА подвергся хакерской атаке. В контракте The_Association_Sales при проверке в белом списке возникли проблемы с подделкой и повторным использованием подписей, не была проведена запись использованных подписей и проверка msg.sender.
Событие Akutar
23 апреля 2022 года у контракта AkuAuction проекта Akutar произошла уязвимость, в результате которой было заблокировано 11539 ETH (около 34 миллионов долларов). В контракте была проблема с логикой возврата, не учитывающая ситуацию с многократными ставками пользователей, что сделало операцию возврата невозможной.
Событие XCarnival
24 июня 2022 года XCarnival подвергся атаке, в результате чего было потеряно 3087 эфиров (примерно 3,8 миллиона долларов). Контракт XNFT не проверял законность адреса xToken при ставке NFT и не проверял статус залоговой записи при заимствовании.
Часто задаваемые вопросы о NFT-контрактах
Подделка и повторное использование подписей:
Логическая уязвимость:
Реинвазивная атака ERC721/ERC1155:
Область полномочий слишком велика:
Манипуляция ценами:
Учитывая частые инциденты безопасности NFT-контрактов, профессиональный аудит безопасности становится особенно важным. Команды проектов должны уделять внимание безопасности контрактов и обращаться к профессиональным организациям для проведения комплексного аудита, чтобы снизить риски безопасности.