تحليل مشكلات أمان عقود NFT وتفسير الحالات النموذجية
في النصف الأول من عام 2022، حدثت العديد من حوادث الأمان في مجال NFT، مما أدى إلى خسائر تبلغ حوالي 6490 مليون دولار. كانت هذه الحوادث تتعلق بشكل أساسي باستغلال ثغرات العقود، وتسرب المفاتيح الخاصة، وهجمات التصيد. ومن الجدير بالذكر أن حوادث التصيد على منصة Discord كانت متكررة، حيث تتعرض الخوادم للهجوم تقريبًا كل يوم، مما يؤدي إلى خسائر متكررة للمستخدمين الأفراد.
تحليل الأحداث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO التجارية لهجوم من قراصنة، مما أدى إلى سرقة أكثر من 100 NFT. السبب الجذري لهذا الحادث هو وجود ثغرة منطقية في العقد، حيث تم خلط رموز ERC-1155 وERC-721 مما أدى إلى ارتباك منطقي. رموز ERC-721 لا تحتوي على مفهوم الكمية، لكن العقد استخدم حساب الكمية لتحديد سعر شراء الرموز، ولم يتم فصل المنطق في تنفيذ تحويل الرموز.
حدث توزيع عملة APE
في 17 مارس 2022، استغل قراصنة القروض الفورية للحصول على أكثر من 60000 قطعة من APE Coin المخصصة. كانت الثغرة موجودة في عقد التوزيع، حيث استخدم العقد حالة فورية لتحديد ملكية المستخدم لـ NFT، ويمكن التلاعب بهذه الحالة من خلال القروض الفورية.
فعالية Revest Finance
في 27 مارس 2022، تعرض مشروع Revest Finance لهجوم، مما أدى إلى خسارة حوالي 120,000 دولار. كانت هذه هجمة نموذجية لإعادة الدخول على ERC-1155، حيث لم يقم العقد بالتحقق مما إذا كان FNFT جديد موجودًا أثناء عملية الطباعة، وتم تنفيذ زيادة المتغيرات الحالة بعد وظيفة الطباعة، مما أدى إلى ثغرة إعادة الدخول.
حدث سحب NBA
في 21 أبريل 2022، تعرض مشروع NBA لهجوم. تتعلق الثغرة بمشاكل انتحال التوقيع وإعادة استخدامه، حيث لم يتم تخزين التوقيع المستخدم في العقد، ولم يتم التحقق من المرسل أثناء تمرير المعلمات.
حدث أكوتار
في 23 أبريل 2022، تم قفل 11,539 ETH (حوالي 34 مليون دولار) بسبب ثغرة في العقد الذكي لمشروع Akutar. كان هناك ثغرتان رئيسيتان في المنطق: قد يتم منع وظيفة استرداد الأموال بشكل خبيث، ولم يؤخذ في الاعتبار حالات تقديم العطاءات المتعددة من قبل المستخدمين.
حدث XCarnival
في 24 يونيو 2022، تعرضت XCarnival لهجوم، وحقق القراصنة أرباحًا قدرها 3087 إيثريوم (حوالي 3.8 مليون دولار). كانت الثغرة في عدم فحص العقد لعناوين xToken الخاصة بنفط NFT المرهونة فيما إذا كانت في القائمة البيضاء، وكذلك عدم التحقق من حالة سجلات الرهن عند الاقتراض.
مشكلات الأمان الشائعة في عقود NFT
انتحال الهوية وإعادة الاستخدام:
نقص في التحقق من التنفيذ المتكرر
فحص التوقيع غير معقول
ثغرة منطقية:
التحكم في إجمالي كمية العملات غير مناسب
ترتيب المعاملات خلال عملية المزاد يعتمد على الهجمات
هجوم إعادة الدخول ERC721/ERC1155:
قد تؤدي ميزة إشعار التحويل إلى إعادة الإدخال
نطاق التفويض واسع للغاية:
قد تؤدي الأذونات العالمية غير الضرورية إلى سرقة NFT
التحكم في الأسعار:
تعتمد أسعار NFT على عوامل يمكن التلاعب بها
نظرًا لهذه المخاطر الأمنية، فإن إجراء تدقيق أمني احترافي لعقود NFT هو أمر بالغ الأهمية، حيث يمكن أن يحمي بشكل فعال من الهجمات والثغرات المحتملة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 14
أعجبني
14
6
إعادة النشر
مشاركة
تعليق
0/400
SnapshotStriker
· منذ 20 س
من الأفضل الذهاب للعب في cex بأمان أكثر
شاهد النسخة الأصليةرد0
0xOverleveraged
· 08-08 17:18
يوم آخر من السرحان ومشاهدة Discord تم اقتطاف القسائم
شاهد النسخة الأصليةرد0
AlphaLeaker
· 08-08 16:39
الدرع في اليد، ماذا تخشى من الهجمات؟
شاهد النسخة الأصليةرد0
MindsetExpander
· 08-08 16:39
لا تتكلف بالفخاخ، فهم العقد هو الأمر الحقيقي.
شاهد النسخة الأصليةرد0
LiquidityWitch
· 08-08 16:39
6490w دولار أمريكي... ببساطة بعيدة عن الواقع
شاهد النسخة الأصليةرد0
GasFeeThunder
· 08-08 16:38
سيرتفع الغاز مرة أخرى انظر إلى البيانات هذه الموجة مدمر
تحليل مخاطر أمان عقود NFT: حالات نموذجية وإجراءات وقائية
تحليل مشكلات أمان عقود NFT وتفسير الحالات النموذجية
في النصف الأول من عام 2022، حدثت العديد من حوادث الأمان في مجال NFT، مما أدى إلى خسائر تبلغ حوالي 6490 مليون دولار. كانت هذه الحوادث تتعلق بشكل أساسي باستغلال ثغرات العقود، وتسرب المفاتيح الخاصة، وهجمات التصيد. ومن الجدير بالذكر أن حوادث التصيد على منصة Discord كانت متكررة، حيث تتعرض الخوادم للهجوم تقريبًا كل يوم، مما يؤدي إلى خسائر متكررة للمستخدمين الأفراد.
تحليل الأحداث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO التجارية لهجوم من قراصنة، مما أدى إلى سرقة أكثر من 100 NFT. السبب الجذري لهذا الحادث هو وجود ثغرة منطقية في العقد، حيث تم خلط رموز ERC-1155 وERC-721 مما أدى إلى ارتباك منطقي. رموز ERC-721 لا تحتوي على مفهوم الكمية، لكن العقد استخدم حساب الكمية لتحديد سعر شراء الرموز، ولم يتم فصل المنطق في تنفيذ تحويل الرموز.
حدث توزيع عملة APE
في 17 مارس 2022، استغل قراصنة القروض الفورية للحصول على أكثر من 60000 قطعة من APE Coin المخصصة. كانت الثغرة موجودة في عقد التوزيع، حيث استخدم العقد حالة فورية لتحديد ملكية المستخدم لـ NFT، ويمكن التلاعب بهذه الحالة من خلال القروض الفورية.
فعالية Revest Finance
في 27 مارس 2022، تعرض مشروع Revest Finance لهجوم، مما أدى إلى خسارة حوالي 120,000 دولار. كانت هذه هجمة نموذجية لإعادة الدخول على ERC-1155، حيث لم يقم العقد بالتحقق مما إذا كان FNFT جديد موجودًا أثناء عملية الطباعة، وتم تنفيذ زيادة المتغيرات الحالة بعد وظيفة الطباعة، مما أدى إلى ثغرة إعادة الدخول.
حدث سحب NBA
في 21 أبريل 2022، تعرض مشروع NBA لهجوم. تتعلق الثغرة بمشاكل انتحال التوقيع وإعادة استخدامه، حيث لم يتم تخزين التوقيع المستخدم في العقد، ولم يتم التحقق من المرسل أثناء تمرير المعلمات.
حدث أكوتار
في 23 أبريل 2022، تم قفل 11,539 ETH (حوالي 34 مليون دولار) بسبب ثغرة في العقد الذكي لمشروع Akutar. كان هناك ثغرتان رئيسيتان في المنطق: قد يتم منع وظيفة استرداد الأموال بشكل خبيث، ولم يؤخذ في الاعتبار حالات تقديم العطاءات المتعددة من قبل المستخدمين.
حدث XCarnival
في 24 يونيو 2022، تعرضت XCarnival لهجوم، وحقق القراصنة أرباحًا قدرها 3087 إيثريوم (حوالي 3.8 مليون دولار). كانت الثغرة في عدم فحص العقد لعناوين xToken الخاصة بنفط NFT المرهونة فيما إذا كانت في القائمة البيضاء، وكذلك عدم التحقق من حالة سجلات الرهن عند الاقتراض.
مشكلات الأمان الشائعة في عقود NFT
انتحال الهوية وإعادة الاستخدام:
ثغرة منطقية:
هجوم إعادة الدخول ERC721/ERC1155:
نطاق التفويض واسع للغاية:
التحكم في الأسعار:
نظرًا لهذه المخاطر الأمنية، فإن إجراء تدقيق أمني احترافي لعقود NFT هو أمر بالغ الأهمية، حيث يمكن أن يحمي بشكل فعال من الهجمات والثغرات المحتملة.