Анализ проблем безопасности NFT-контрактов и интерпретация типичных случаев
В первой половине 2022 года в области NFT произошло несколько инцидентов безопасности, в результате которых было потеряно около 64,9 миллиона долларов. Эти инциденты в основном связаны с использованием уязвимостей контрактов, утечкой приватных ключей и фишинг-атаками. Стоит отметить, что на платформе Discord часто происходят фишинговые инциденты, почти ежедневно серверы подвергаются атакам, что приводит к частым потерям среди пользователей.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта 2022 года платформа обмена TreasureDAO подверглась хакерской атаке, в результате которой было украдено более 100 NFT. Основной причиной этого инцидента является наличие логической уязвимости в контракте, смешение токенов ERC-1155 и ERC-721 привело к логическому конфликту. Токены ERC-721 не имеют концепции количества, но контракт использует количество для расчета цены покупки токенов, и при реализации передачи токенов не было выполнено логическое разделение.
APE Coin аэродроп событие
17 марта 2022 года хакеры использовали флеш-займы для получения более 60000 APE Coin через аирдроп. Уязвимость возникла в контракте аирдропа, который использовал мгновенное состояние для определения прав собственности пользователя на NFT, и это состояние можно было манипулировать через флеш-займы.
Событие Revest Finance
27 марта 2022 года проект Revest Finance подвергся атаке, в результате которой было потеряно около 120 000 долларов США. Это типичная атака повторного входа ERC-1155, где контракт не проверял, существует ли уже FNFT при его выпуске, и увеличение переменной состояния выполнялось после функции выпуска, что привело к уязвимости повторного входа.
NBA схемы
21 апреля 2022 года проект NBA подвергся атаке. Уязвимость связана с подделкой и повторным использованием подписей, контракт не хранил использованные подписи, и при передаче параметров не проводилась проверка отправителя.
Акутар事件
23 апреля 2022 года проект Akutar из-за уязвимости в смарт-контракте заблокировал 11,539 ETH (примерно 34 миллиона долларов США). Контракт имел два ключевых логических недостатка: функция возврата могла быть злонамеренно заблокирована, а также не учитывалась ситуация с многократными ставками пользователей.
событие XCarnival
24 июня 2022 года XCarnival подвергся атаке, хакеры получили прибыль в 3087 эфиров (около 3,8 миллиона долларов). Уязвимость заключалась в том, что контракт не проверял, находится ли адрес xToken заложенного NFT в белом списке, и при заимствовании не проверял состояние залоговой записи.
Распространенные проблемы безопасности с NFT-контрактами
Подделка и повторное использование подписей:
Отсутствует проверка на повторное выполнение
Проверка подписи неразумна
Логическая уязвимость:
Неправильный контроль общего объема эмиссии монет
Порядок сделок в процессе аукциона зависит от атаки
Реентерационная атака ERC721/ERC1155:
Функция уведомления о переводе может привести к повторному входу
Слишком широкий объем полномочий:
Ненужные глобальные разрешения могут привести к краже NFT
Манипуляция ценами:
Цена NFT зависит от манипулируемых факторов
С учетом этих рисков безопасности профессиональный аудит безопасности контрактов NFT имеет решающее значение и может эффективно предотвратить потенциальные атаки и уязвимости.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
6
Репост
Поделиться
комментарий
0/400
SnapshotStriker
· 22ч назад
Лучше сходить поиграть на cex, это безопаснее.
Посмотреть ОригиналОтветить0
0xOverleveraged
· 08-08 17:18
Еще один день, когда я бездельничаю, смотрю Discord и получаю Клиповые купоны.
Посмотреть ОригиналОтветить0
AlphaLeaker
· 08-08 16:39
Щит в руке, чего бояться от атак?
Посмотреть ОригиналОтветить0
MindsetExpander
· 08-08 16:39
Не тратьте время на всякую ерунду, важно, понимаете ли вы контракт на самом деле.
Посмотреть ОригиналОтветить0
LiquidityWitch
· 08-08 16:39
6490w долларов... просто за пределами понимания
Посмотреть ОригиналОтветить0
GasFeeThunder
· 08-08 16:38
Газ费 опять будет расти. Смотрите данные. Эта волна Рект.
Анализ рисков безопасности NFT-контрактов: типичные случаи и меры предосторожности
Анализ проблем безопасности NFT-контрактов и интерпретация типичных случаев
В первой половине 2022 года в области NFT произошло несколько инцидентов безопасности, в результате которых было потеряно около 64,9 миллиона долларов. Эти инциденты в основном связаны с использованием уязвимостей контрактов, утечкой приватных ключей и фишинг-атаками. Стоит отметить, что на платформе Discord часто происходят фишинговые инциденты, почти ежедневно серверы подвергаются атакам, что приводит к частым потерям среди пользователей.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта 2022 года платформа обмена TreasureDAO подверглась хакерской атаке, в результате которой было украдено более 100 NFT. Основной причиной этого инцидента является наличие логической уязвимости в контракте, смешение токенов ERC-1155 и ERC-721 привело к логическому конфликту. Токены ERC-721 не имеют концепции количества, но контракт использует количество для расчета цены покупки токенов, и при реализации передачи токенов не было выполнено логическое разделение.
APE Coin аэродроп событие
17 марта 2022 года хакеры использовали флеш-займы для получения более 60000 APE Coin через аирдроп. Уязвимость возникла в контракте аирдропа, который использовал мгновенное состояние для определения прав собственности пользователя на NFT, и это состояние можно было манипулировать через флеш-займы.
Событие Revest Finance
27 марта 2022 года проект Revest Finance подвергся атаке, в результате которой было потеряно около 120 000 долларов США. Это типичная атака повторного входа ERC-1155, где контракт не проверял, существует ли уже FNFT при его выпуске, и увеличение переменной состояния выполнялось после функции выпуска, что привело к уязвимости повторного входа.
NBA схемы
21 апреля 2022 года проект NBA подвергся атаке. Уязвимость связана с подделкой и повторным использованием подписей, контракт не хранил использованные подписи, и при передаче параметров не проводилась проверка отправителя.
Акутар事件
23 апреля 2022 года проект Akutar из-за уязвимости в смарт-контракте заблокировал 11,539 ETH (примерно 34 миллиона долларов США). Контракт имел два ключевых логических недостатка: функция возврата могла быть злонамеренно заблокирована, а также не учитывалась ситуация с многократными ставками пользователей.
событие XCarnival
24 июня 2022 года XCarnival подвергся атаке, хакеры получили прибыль в 3087 эфиров (около 3,8 миллиона долларов). Уязвимость заключалась в том, что контракт не проверял, находится ли адрес xToken заложенного NFT в белом списке, и при заимствовании не проверял состояние залоговой записи.
Распространенные проблемы безопасности с NFT-контрактами
Подделка и повторное использование подписей:
Логическая уязвимость:
Реентерационная атака ERC721/ERC1155:
Слишком широкий объем полномочий:
Манипуляция ценами:
С учетом этих рисков безопасности профессиональный аудит безопасности контрактов NFT имеет решающее значение и может эффективно предотвратить потенциальные атаки и уязвимости.