Безпека NFT-контрактів: аналіз подій першої половини року та обговорення поширених питань
У першій половині 2022 року в сфері NFT часто траплялися інциденти безпеки, що призводили до величезних втрат. Згідно з даними платформи моніторингу, сталося 10 основних інцидентів безпеки, внаслідок яких було втрачено близько 6490 мільйонів доларів. Основні методи атаки включали експлуатацію вразливостей контрактів, витік приватних ключів та фішинг тощо. Серед них фішингові атаки на платформі Discord були особливо розповсюдженими, майже щодня сервери зазнавали атак, що призводило до частих втрат користувачів.
Аналіз типових інцидентів безпеки
Подія ### TreasureDAO
3 березня 2022 року платформа торгівлі TreasureDAO зазнала хакерської атаки, в результаті якої було вкрадено понад 100 NFT. Уразливість виникла через логічну проблему в контракті TreasureMarketplaceBuyer. Контракт не здійснював розрізнення між токенами ERC-1155 та ERC-721, що призвело до можливості купівлі NFT за 0 токенів.
подія айрдропу APE Coin
17 березня 2022 року хакери використали кредит на миттєву позичку, щоб отримати понад 60 тисяч монет APE Coin у вигляді аірдропу. Контракт аірдропу GrapesToken використовує миттєвий статус для визначення прав власності користувача на NFT BAYC/MAYC, що було використано зловмисниками для маніпуляцій з кредитом на миттєву позичку.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнав атаки, внаслідок чого було втрачено 120 000 доларів США. Уразливість виникла внаслідок атаки повторного входу ERC-1155, контракт не правильно обробляв змінні стану під час випуску нових FNFT, що призвело до уразливості повторного входу.
NBA хакінг подія
21 квітня 2022 року проект NBA зазнав хакерської атаки. У контракті The_Association_Sales під час верифікації в білому списку існували проблеми з підробкою та повторним використанням підпису, не було ведення обліку вже використаних підписів та перевірки msg.sender.
Подія Akutar
23 квітня 2022 року вразливість контракту AkuAuction проєкту Akutar призвела до блокування 11539ETH (приблизно 34 мільйони доларів). У контракті існувала проблема з логікою повернення коштів, яка не враховувала ситуацію з багаторазовими ставками користувачів, що ускладнювало виконання операції повернення.
Подія XCarnival
24 червня 2022 року XCarnival зазнав атаки, в результаті якої було втрачено 3087 ефірів (приблизно 3,8 мільйона доларів). Контракт XNFT не перевіряв законність адреси xToken під час стейкінгу NFT, а також не верифікував статус застави під час позики.
Поширені питання про NFT-контракти
Використання та повторне використання підписів:
Недостатньо перевірки повторного виконання
Перевірка підпису не є суворою
Логічна помилка:
Неправильне управління загальною кількістю монет
Порядок транзакцій під час аукціону залежить від атак
Атака повторного входу ERC721/ERC1155:
Функція сповіщення про переказ може призвести до повторного входу
Ціна NFT залежить від факторів, які легко піддаються маніпуляціям
Враховуючи часті випадки безпеки контрактів NFT, професійний аудит безпеки є особливо важливим. Команди проектів повинні приділяти увагу безпеці контрактів, звертаючись до професійних установ для проведення комплексного аудиту з метою зниження ризиків безпеки.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
6
Репост
Поділіться
Прокоментувати
0/400
WalletDivorcer
· 07-31 14:32
По всій землі невдахи, а ще й обдурювати людей, як лохів, не закінчується.
Переглянути оригіналвідповісти на0
OnchainFortuneTeller
· 07-28 22:52
Знову відкрилися! Discord - справжній рай для рибалок.
Переглянути оригіналвідповісти на0
HashRatePhilosopher
· 07-28 15:55
Скільки невдахів приєднується, стільки й Хакерів стежить.
Переглянути оригіналвідповісти на0
SchrodingersPaper
· 07-28 15:50
Скорочення втрат півроку, знову обдурювати людей, як лохів до безпеки, смішно.
Переглянути оригіналвідповісти на0
CountdownToBroke
· 07-28 15:48
Цей контракт занадто ненадійний, я сильно втратив.
Переглянути оригіналвідповісти на0
AltcoinAnalyst
· 07-28 15:29
Дані шифрування вже стали нагальною необхідністю, інакше TVL впаде до нуля.
Часті випадки небезпеки безпеки контрактів NFT, втрати за перше півріччя склали майже 6500 мільйонів доларів США.
Безпека NFT-контрактів: аналіз подій першої половини року та обговорення поширених питань
У першій половині 2022 року в сфері NFT часто траплялися інциденти безпеки, що призводили до величезних втрат. Згідно з даними платформи моніторингу, сталося 10 основних інцидентів безпеки, внаслідок яких було втрачено близько 6490 мільйонів доларів. Основні методи атаки включали експлуатацію вразливостей контрактів, витік приватних ключів та фішинг тощо. Серед них фішингові атаки на платформі Discord були особливо розповсюдженими, майже щодня сервери зазнавали атак, що призводило до частих втрат користувачів.
Аналіз типових інцидентів безпеки
Подія ### TreasureDAO
3 березня 2022 року платформа торгівлі TreasureDAO зазнала хакерської атаки, в результаті якої було вкрадено понад 100 NFT. Уразливість виникла через логічну проблему в контракті TreasureMarketplaceBuyer. Контракт не здійснював розрізнення між токенами ERC-1155 та ERC-721, що призвело до можливості купівлі NFT за 0 токенів.
подія айрдропу APE Coin
17 березня 2022 року хакери використали кредит на миттєву позичку, щоб отримати понад 60 тисяч монет APE Coin у вигляді аірдропу. Контракт аірдропу GrapesToken використовує миттєвий статус для визначення прав власності користувача на NFT BAYC/MAYC, що було використано зловмисниками для маніпуляцій з кредитом на миттєву позичку.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнав атаки, внаслідок чого було втрачено 120 000 доларів США. Уразливість виникла внаслідок атаки повторного входу ERC-1155, контракт не правильно обробляв змінні стану під час випуску нових FNFT, що призвело до уразливості повторного входу.
NBA хакінг подія
21 квітня 2022 року проект NBA зазнав хакерської атаки. У контракті The_Association_Sales під час верифікації в білому списку існували проблеми з підробкою та повторним використанням підпису, не було ведення обліку вже використаних підписів та перевірки msg.sender.
Подія Akutar
23 квітня 2022 року вразливість контракту AkuAuction проєкту Akutar призвела до блокування 11539ETH (приблизно 34 мільйони доларів). У контракті існувала проблема з логікою повернення коштів, яка не враховувала ситуацію з багаторазовими ставками користувачів, що ускладнювало виконання операції повернення.
Подія XCarnival
24 червня 2022 року XCarnival зазнав атаки, в результаті якої було втрачено 3087 ефірів (приблизно 3,8 мільйона доларів). Контракт XNFT не перевіряв законність адреси xToken під час стейкінгу NFT, а також не верифікував статус застави під час позики.
Поширені питання про NFT-контракти
Використання та повторне використання підписів:
Логічна помилка:
Атака повторного входу ERC721/ERC1155:
Занадто великий обсяг повноважень:
Маніпуляція цінами:
Враховуючи часті випадки безпеки контрактів NFT, професійний аудит безпеки є особливо важливим. Команди проектів повинні приділяти увагу безпеці контрактів, звертаючись до професійних установ для проведення комплексного аудиту з метою зниження ризиків безпеки.