NFT Sözleşmesi Güvenliği: İlk Yarının Olay Analizi ve Yaygın Sorunların Tartışılması
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve büyük kayıplara neden oldu. Veri platformlarının izlemelerine göre, toplamda 10 ana güvenlik olayı gerçekleşti ve yaklaşık 64.90 milyon dolar kayıp yaşandı. Saldırı yöntemleri arasında sözleşme açıklarının kötüye kullanılması, özel anahtar sızıntısı ve kimlik avı gibi yöntemler yer alıyor. Özellikle Discord platformundaki kimlik avı saldırıları son derece yaygındı; neredeyse her gün sunuculara saldırılar düzenleniyor ve bu durum kullanıcıların sıkça kayıplar yaşamasına neden oluyor.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu bir hacker saldırısına uğradı ve 100'den fazla NFT çalındı. Açık, TreasureMarketplaceBuyer sözleşmesindeki mantık sorunundan kaynaklanıyordu. Sözleşme, ERC-1155 ve ERC-721 token'larını işlerken ayırım yapmadı, bu da 0 token ödeyerek NFT satın alınmasına olanak tanıdı.
APE Coin airdrop olayı
17 Mart 2022'de, bir hacker, flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. AirdropGrapesToken airdrop sözleşmesi, kullanıcıların BAYC/MAYC NFT'lerine sahip olup olmadığını anlık durumu kontrol ederek belirliyordu ve saldırgan, flash krediyi manipüle etti.
Revest Finance olayı
27 Mart 2022'de Revest Finance saldırıya uğradı ve 120.000 dolar kaybetti. Açık, ERC-1155 yeniden giriş saldırısında ortaya çıktı; sözleşme yeni FNFT'ler basılırken durum değişkenlerini doğru bir şekilde işleyemedi ve bu da yeniden giriş açığına yol açtı.
NBA koyun yünü olayı
2022年4月21日,NBA项目遭黑客攻击。The_Association_Sales sözleşmesinin beyaz liste doğrulamasında imza sahtekarlığı ve yeniden kullanma sorunları vardı, kullanılan imzaların kaydı ve msg.sender doğrulaması yapılmadı.
Akutar olayı
23 Nisan 2022'de, Akutar projesinin AkuAuction sözleşmesindeki bir güvenlik açığı 11539ETH (yaklaşık 34 milyon dolar) kilitlenmesine neden oldu. Sözleşmede bir iade mantığı sorunu vardı ve kullanıcıların birden fazla teklif vermesi durumu dikkate alınmadığı için iade işlemi gerçekleştirilemiyordu.
XCarnival olayı
24 Haziran 2022'de, XCarnival saldırıya uğradı ve 3087 Ethereum (yaklaşık 3.8 milyon dolar) kaybetti. XNFT sözleşmesi, NFT'leri stake ederken xToken adresinin geçerliliğini kontrol etmedi ve borç verme sırasında teminat kayıt durumunu doğrulamadı.
NFT Sözleşmesi Sıkça Sorulan Sorular
İmza istismarı ve yeniden kullanımı:
Tekrarlayan yürütme doğrulaması eksik
İmza kontrolü sıkı değil
Mantık Açığı:
Madeni para toplamı kontrolsüz
Müzayede sürecindeki işlem sırası saldırıya bağımlıdır
ERC721/ERC1155 yeniden giriş saldırısı:
Transfer bildirim özelliği reentrancy'ye neden olabilir
Yetki kapsamı çok geniş:
Aşırı yetki talep etmek, NFT'nin çalınma riskini artırır.
Fiyat manipülasyonu:
NFT fiyatı, kolayca manipüle edilebilen faktörlere bağlıdır.
NFT sözleşmesi güvenlik olaylarının sıkça yaşandığı göz önüne alındığında, profesyonel güvenlik denetimi son derece önemlidir. Proje sahipleri sözleşme güvenliğine önem vermeli ve güvenlik risklerini azaltmak için profesyonel kuruluşlardan kapsamlı denetim talep etmelidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 Likes
Reward
16
6
Repost
Share
Comment
0/400
WalletDivorcer
· 07-31 14:32
Her yerde enayiler var, insanları enayi yerine koymak bitmiyor.
View OriginalReply0
OnchainFortuneTeller
· 07-28 22:52
Yine açıldı! Discord tam bir oltalama cenneti.
View OriginalReply0
HashRatePhilosopher
· 07-28 15:55
Ne kadar enayi gemiye biniyorsa, o kadar Hacker gözetliyor.
View OriginalReply0
SchrodingersPaper
· 07-28 15:50
Kesinti Kaybı altı ay, bir de güvenlik kazası yaşandı, gülüyorum.
View OriginalReply0
CountdownToBroke
· 07-28 15:48
Bu sözleşme de çok kötü değil mi, çok zarar ettim.
View OriginalReply0
AltcoinAnalyst
· 07-28 15:29
Veri şifrelemesi acil bir durum haline geldi, bu şekilde devam ederse TVL sıfıra düşecek.
NFT sözleşmelerinde güvenlik açıkları sıkça meydana geliyor. İlk yarıda yaklaşık 6500 milyon dolar kayıp.
NFT Sözleşmesi Güvenliği: İlk Yarının Olay Analizi ve Yaygın Sorunların Tartışılması
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve büyük kayıplara neden oldu. Veri platformlarının izlemelerine göre, toplamda 10 ana güvenlik olayı gerçekleşti ve yaklaşık 64.90 milyon dolar kayıp yaşandı. Saldırı yöntemleri arasında sözleşme açıklarının kötüye kullanılması, özel anahtar sızıntısı ve kimlik avı gibi yöntemler yer alıyor. Özellikle Discord platformundaki kimlik avı saldırıları son derece yaygındı; neredeyse her gün sunuculara saldırılar düzenleniyor ve bu durum kullanıcıların sıkça kayıplar yaşamasına neden oluyor.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu bir hacker saldırısına uğradı ve 100'den fazla NFT çalındı. Açık, TreasureMarketplaceBuyer sözleşmesindeki mantık sorunundan kaynaklanıyordu. Sözleşme, ERC-1155 ve ERC-721 token'larını işlerken ayırım yapmadı, bu da 0 token ödeyerek NFT satın alınmasına olanak tanıdı.
APE Coin airdrop olayı
17 Mart 2022'de, bir hacker, flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. AirdropGrapesToken airdrop sözleşmesi, kullanıcıların BAYC/MAYC NFT'lerine sahip olup olmadığını anlık durumu kontrol ederek belirliyordu ve saldırgan, flash krediyi manipüle etti.
Revest Finance olayı
27 Mart 2022'de Revest Finance saldırıya uğradı ve 120.000 dolar kaybetti. Açık, ERC-1155 yeniden giriş saldırısında ortaya çıktı; sözleşme yeni FNFT'ler basılırken durum değişkenlerini doğru bir şekilde işleyemedi ve bu da yeniden giriş açığına yol açtı.
NBA koyun yünü olayı
2022年4月21日,NBA项目遭黑客攻击。The_Association_Sales sözleşmesinin beyaz liste doğrulamasında imza sahtekarlığı ve yeniden kullanma sorunları vardı, kullanılan imzaların kaydı ve msg.sender doğrulaması yapılmadı.
Akutar olayı
23 Nisan 2022'de, Akutar projesinin AkuAuction sözleşmesindeki bir güvenlik açığı 11539ETH (yaklaşık 34 milyon dolar) kilitlenmesine neden oldu. Sözleşmede bir iade mantığı sorunu vardı ve kullanıcıların birden fazla teklif vermesi durumu dikkate alınmadığı için iade işlemi gerçekleştirilemiyordu.
XCarnival olayı
24 Haziran 2022'de, XCarnival saldırıya uğradı ve 3087 Ethereum (yaklaşık 3.8 milyon dolar) kaybetti. XNFT sözleşmesi, NFT'leri stake ederken xToken adresinin geçerliliğini kontrol etmedi ve borç verme sırasında teminat kayıt durumunu doğrulamadı.
NFT Sözleşmesi Sıkça Sorulan Sorular
İmza istismarı ve yeniden kullanımı:
Mantık Açığı:
ERC721/ERC1155 yeniden giriş saldırısı:
Yetki kapsamı çok geniş:
Fiyat manipülasyonu:
NFT sözleşmesi güvenlik olaylarının sıkça yaşandığı göz önüne alındığında, profesyonel güvenlik denetimi son derece önemlidir. Proje sahipleri sözleşme güvenliğine önem vermeli ve güvenlik risklerini azaltmak için profesyonel kuruluşlardan kapsamlı denetim talep etmelidir.