NFT Sözleşme Güvenlik Sorunları Analizi ve Tipik Vaka Yorumları
2022 yılının ilk yarısında, NFT alanında birçok güvenlik olayı meydana geldi ve yaklaşık 64.9 milyon dolar kayba neden oldu. Bu olaylar esas olarak sözleşme açıklarının kullanımı, özel anahtar sızıntıları ve kimlik avı saldırıları gibi yöntemleri içeriyordu. Dikkate değer bir nokta, Discord platformundaki kimlik avı olaylarının sık sık yaşanması ve neredeyse her gün sunucuların saldırıya uğraması sonucu bireysel kullanıcıların kayıplarının sıkça meydana gelmesidir.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Bu olayın temel nedeni, sözleşmede bulunan mantık açığıdır; ERC-1155 ve ERC-721 token'larının karışımı mantık karmaşasına yol açmıştır. ERC-721 token'larının miktar kavramı yoktur, ancak sözleşme miktar kullanarak token satın alma fiyatını hesaplamaktadır ve token transferi gerçekleştirilirken mantıksal ayrım yapılmamıştır.
APE Coin airdrop olayı
17 Mart 2022'de, bir hacker, anlık kredi kullanarak 60.000'den fazla APE Coin airdrop'unu elde etti. Açık, airdrop sözleşmesinde meydana geldi; sözleşme, kullanıcının NFT üzerindeki sahipliğini anlık durum kullanarak belirliyordu ve bu durum anlık kredilerle manipüle edilebiliyordu.
Revest Finance olayı
27 Mart 2022'de Revest Finance projesi saldırıya uğradı ve yaklaşık 120.000 dolar kaybedildi. Bu, tipik bir ERC-1155 yeniden giriş saldırısıdır; sözleşme yeni FNFT basılırken var olup olmadığını kontrol etmedi ve durum değişkeninin artırılması basım fonksiyonundan sonra gerçekleştirildi, bu da yeniden giriş açığına yol açtı.
NBA koyun yünü olayı
21 Nisan 2022'de, NBA projesi saldırıya uğradı. Açık, imza kötüye kullanımı ve yeniden kullanımı sorunlarını içeriyor, sözleşme kullanılmış imzaları saklamıyor ve parametre gönderimi sırasında gönderen doğrulaması yapmıyor.
Akutar olayı
23 Nisan 2022'de, Akutar projesi akıllı sözleşme açığı nedeniyle 11.539 ETH (yaklaşık 34 milyon dolar) kilitlendi. Sözleşmede iki kritik mantık açığı bulunuyordu: geri ödeme fonksiyonu kötü niyetli olarak engellenebilir ve kullanıcıların birden fazla teklif verme durumu göz önünde bulundurulmamıştı.
XCarnival olayı
24 Haziran 2022'de, XCarnival saldırıya uğradı ve hackerlar 3087 adet Ethereum (yaklaşık 3.8 milyon dolar) kazandı. Açık, sözleşmenin stake edilen NFT'nin xToken adresinin beyaz listede olup olmadığını kontrol etmemesi ve borç alırken teminat kayıt durumunu kontrol etmemesindeydi.
NFT Sözleşmesi Yaygın Güvenlik Sorunları
İmza kötüye kullanımı ve yeniden kullanımı:
Tekrar yürütme doğrulaması eksik
İmza kontrolü mantıksız
Mantık Hatası:
Madeni para toplamı kontrol edilmedi
Müzayede sürecindeki işlem sırası saldırıya bağımlıdır
ERC721/ERC1155 yeniden giriş saldırısı:
Transfer bildirim özelliği reentrancy'e neden olabilir
Yetki kapsamı çok geniş:
Gereksiz global yetkilendirme, NFT'nin çalınmasına neden olabilir.
Bu güvenlik riskleri göz önüne alındığında, NFT sözleşmelerinin profesyonel güvenlik denetimlerinden geçirilmesi son derece önemlidir; bu, potansiyel saldırılara ve açıklarına karşı etkili bir koruma sağlar.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 Likes
Reward
14
6
Repost
Share
Comment
0/400
SnapshotStriker
· 14h ago
Cex'te oynamak daha güvenli.
View OriginalReply0
0xOverleveraged
· 08-08 17:18
Yine bir gün Discord'da Klip Kuponlar için vakit geçirdim.
View OriginalReply0
AlphaLeaker
· 08-08 16:39
Kalkan elimde, saldırılardan ne korkayım?
View OriginalReply0
MindsetExpander
· 08-08 16:39
O süslü püslü şeyleri bir kenara bırak, sözleşmeye bak, anlamak gerçek yetenek.
View OriginalReply0
LiquidityWitch
· 08-08 16:39
6490w Amerikan Doları... Tamamen saçmalık
View OriginalReply0
GasFeeThunder
· 08-08 16:38
gas ücreti yine yükselecek, verileri incele. Bu sefer Rekt.
NFT sözleşmesi güvenlik risklerinin analizi: Tipik vakalar ve önleme yöntemleri
NFT Sözleşme Güvenlik Sorunları Analizi ve Tipik Vaka Yorumları
2022 yılının ilk yarısında, NFT alanında birçok güvenlik olayı meydana geldi ve yaklaşık 64.9 milyon dolar kayba neden oldu. Bu olaylar esas olarak sözleşme açıklarının kullanımı, özel anahtar sızıntıları ve kimlik avı saldırıları gibi yöntemleri içeriyordu. Dikkate değer bir nokta, Discord platformundaki kimlik avı olaylarının sık sık yaşanması ve neredeyse her gün sunucuların saldırıya uğraması sonucu bireysel kullanıcıların kayıplarının sıkça meydana gelmesidir.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Bu olayın temel nedeni, sözleşmede bulunan mantık açığıdır; ERC-1155 ve ERC-721 token'larının karışımı mantık karmaşasına yol açmıştır. ERC-721 token'larının miktar kavramı yoktur, ancak sözleşme miktar kullanarak token satın alma fiyatını hesaplamaktadır ve token transferi gerçekleştirilirken mantıksal ayrım yapılmamıştır.
APE Coin airdrop olayı
17 Mart 2022'de, bir hacker, anlık kredi kullanarak 60.000'den fazla APE Coin airdrop'unu elde etti. Açık, airdrop sözleşmesinde meydana geldi; sözleşme, kullanıcının NFT üzerindeki sahipliğini anlık durum kullanarak belirliyordu ve bu durum anlık kredilerle manipüle edilebiliyordu.
Revest Finance olayı
27 Mart 2022'de Revest Finance projesi saldırıya uğradı ve yaklaşık 120.000 dolar kaybedildi. Bu, tipik bir ERC-1155 yeniden giriş saldırısıdır; sözleşme yeni FNFT basılırken var olup olmadığını kontrol etmedi ve durum değişkeninin artırılması basım fonksiyonundan sonra gerçekleştirildi, bu da yeniden giriş açığına yol açtı.
NBA koyun yünü olayı
21 Nisan 2022'de, NBA projesi saldırıya uğradı. Açık, imza kötüye kullanımı ve yeniden kullanımı sorunlarını içeriyor, sözleşme kullanılmış imzaları saklamıyor ve parametre gönderimi sırasında gönderen doğrulaması yapmıyor.
Akutar olayı
23 Nisan 2022'de, Akutar projesi akıllı sözleşme açığı nedeniyle 11.539 ETH (yaklaşık 34 milyon dolar) kilitlendi. Sözleşmede iki kritik mantık açığı bulunuyordu: geri ödeme fonksiyonu kötü niyetli olarak engellenebilir ve kullanıcıların birden fazla teklif verme durumu göz önünde bulundurulmamıştı.
XCarnival olayı
24 Haziran 2022'de, XCarnival saldırıya uğradı ve hackerlar 3087 adet Ethereum (yaklaşık 3.8 milyon dolar) kazandı. Açık, sözleşmenin stake edilen NFT'nin xToken adresinin beyaz listede olup olmadığını kontrol etmemesi ve borç alırken teminat kayıt durumunu kontrol etmemesindeydi.
NFT Sözleşmesi Yaygın Güvenlik Sorunları
İmza kötüye kullanımı ve yeniden kullanımı:
Mantık Hatası:
ERC721/ERC1155 yeniden giriş saldırısı:
Yetki kapsamı çok geniş:
Fiyat manipülasyonu:
Bu güvenlik riskleri göz önüne alındığında, NFT sözleşmelerinin profesyonel güvenlik denetimlerinden geçirilmesi son derece önemlidir; bu, potansiyel saldırılara ve açıklarına karşı etkili bir koruma sağlar.