Анализ безопасности NFT-контрактов: Обзор событий первой половины 2022 года и обсуждение распространенных вопросов
В первой половине 2022 года ситуация с безопасностью в области NFT была серьезной. Данные показывают, что произошло 10 основных инцидентов безопасности, которые привели к ущербу около 64,9 миллиона долларов. Основные методы атак включали эксплуатацию уязвимостей контрактов, утечку приватных ключей и фишинг.值得注意的是,фишинговые атаки на платформе Discord происходят почти ежедневно, что приводит к частым потерям для отдельных пользователей.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта торговая платформа TreasureDAO подверглась атаке, в результате которой было украдено более 100 NFT. Причиной стала логическая уязвимость, вызванная смешиванием токенов ERC-1155 и ERC-721. Контракт не различал типы токенов при обработке покупки токенов, что позволило злоумышленникам использовать токены ERC-20 для покупки NFT без затрат.
Событие аирдропа APE Coin
17 марта хакеры через флеш-кредиты получили более 60000 токенов APE Coin в результатеairdrop. Уязвимость возникла из-за того, что контракт airdrop использовал мгновенные состояния для определения прав собственности на NFT, что можно было манипулировать с помощью флеш-кредита.
Событие Revest Finance
27 марта Revest Finance подвергся атаке, в результате которой был потерян 120 000 долларов США. Это典型ная атака повторного входа ERC-1155, вызванная тем, что контракт неправильно обрабатывал порядок обновления состояния при создании новых FNFT.
NBA "халявные" события
21 апреля NBA проект подвергся атаке. Проблема заключалась в механизме проверки подписи в белом списке, где существуют два основных уязвимости: подделка и повторное использование подписи.
Событие Akutar
23 апреля проект Akutar из-за уязвимости в контракте заблокировал 11539 ETH (около 34 миллионов долларов). Основные проблемы включают недостатки в дизайне функции возврата и отсутствие учета ситуации с многократными ставками пользователей.
Событие XCarnival
24 июня, XCarnival подвергся атаке, потеряв 3087 ETH (около 3,8 миллиона долларов). Уязвимость заключалась в том, что при ставке NFT не проверялась легальность адреса xToken, а также не проверялось состояние залоговых записей при заимствовании.
Распространенные проблемы безопасности контрактов NFT
Подделка и повторное использование подписей:
Отсутствует проверка на повторное выполнение
Логика проверки подписи нестрога
Логическая уязвимость:
Неправильный контроль общего объема эмиссии
Порядок сделок в процессе аукциона зависит от атаки
Ретрансляционная атака ERC721/ERC1155:
Функция уведомления о переводе может привести к повторному входу
Слишком широкий диапазон полномочий:
Необоснованное глобальное разрешение увеличивает риск кражи NFT
Манипуляция ценами:
Цена NFT зависит от внешних факторов и подвержена влиянию таких методов, как флеш-кредиты.
Учитывая сложность и потенциальные риски контрактов NFT, крайне важно обратиться к профессиональным компаниям по безопасности для проведения комплексного аудита с целью предотвращения возможных угроз безопасности.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
3
Поделиться
комментарий
0/400
PumpStrategist
· 07-31 16:38
Типичный случай неудачников, которых разыгрывают людей как лохов и они теряют деньги. Чипы сосредоточены на высоких уровнях, и никто не обращает на это внимания.
Посмотреть ОригиналОтветить0
ConsensusDissenter
· 07-31 16:17
649 миллионов долларов украли, это действительно абсурдно
Посмотреть ОригиналОтветить0
MemeKingNFT
· 07-31 16:09
На континенте между подъемами и падениями неудачники разбили сердце, вспоминая о простоте начала бычьего рынка.
Анализ рисков безопасности NFT-контрактов: уроки, извлеченные из потерь в 64,9 миллиона долларов в первой половине 2022 года
Анализ безопасности NFT-контрактов: Обзор событий первой половины 2022 года и обсуждение распространенных вопросов
В первой половине 2022 года ситуация с безопасностью в области NFT была серьезной. Данные показывают, что произошло 10 основных инцидентов безопасности, которые привели к ущербу около 64,9 миллиона долларов. Основные методы атак включали эксплуатацию уязвимостей контрактов, утечку приватных ключей и фишинг.值得注意的是,фишинговые атаки на платформе Discord происходят почти ежедневно, что приводит к частым потерям для отдельных пользователей.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта торговая платформа TreasureDAO подверглась атаке, в результате которой было украдено более 100 NFT. Причиной стала логическая уязвимость, вызванная смешиванием токенов ERC-1155 и ERC-721. Контракт не различал типы токенов при обработке покупки токенов, что позволило злоумышленникам использовать токены ERC-20 для покупки NFT без затрат.
Событие аирдропа APE Coin
17 марта хакеры через флеш-кредиты получили более 60000 токенов APE Coin в результатеairdrop. Уязвимость возникла из-за того, что контракт airdrop использовал мгновенные состояния для определения прав собственности на NFT, что можно было манипулировать с помощью флеш-кредита.
Событие Revest Finance
27 марта Revest Finance подвергся атаке, в результате которой был потерян 120 000 долларов США. Это典型ная атака повторного входа ERC-1155, вызванная тем, что контракт неправильно обрабатывал порядок обновления состояния при создании новых FNFT.
NBA "халявные" события
21 апреля NBA проект подвергся атаке. Проблема заключалась в механизме проверки подписи в белом списке, где существуют два основных уязвимости: подделка и повторное использование подписи.
Событие Akutar
23 апреля проект Akutar из-за уязвимости в контракте заблокировал 11539 ETH (около 34 миллионов долларов). Основные проблемы включают недостатки в дизайне функции возврата и отсутствие учета ситуации с многократными ставками пользователей.
Событие XCarnival
24 июня, XCarnival подвергся атаке, потеряв 3087 ETH (около 3,8 миллиона долларов). Уязвимость заключалась в том, что при ставке NFT не проверялась легальность адреса xToken, а также не проверялось состояние залоговых записей при заимствовании.
Распространенные проблемы безопасности контрактов NFT
Подделка и повторное использование подписей:
Логическая уязвимость:
Ретрансляционная атака ERC721/ERC1155:
Слишком широкий диапазон полномочий:
Манипуляция ценами:
Учитывая сложность и потенциальные риски контрактов NFT, крайне важно обратиться к профессиональным компаниям по безопасности для проведения комплексного аудита с целью предотвращения возможных угроз безопасности.