Аналіз проблем безпеки NFT-контрактів та інтерпретація типових випадків
У першій половині 2022 року в сфері NFT сталося кілька випадків безпеки, які призвели до збитків приблизно у 64,9 мільйона доларів. Ці події в основному стосувалися експлуатації вразливостей контрактів, витоку приватних ключів та фішингових атак. Варто зазначити, що фішингові інциденти на платформі Discord відбуваються часто, майже щодня сервери піддаються атакам, що призводить до частих втрат серед особистих користувачів.
Аналіз типов безпекових інцидентів
Подія ### TreasureDAO
3 березня 2022 року платформа торгівлі TreasureDAO зазнала хакерської атаки, в результаті якої було вкрадено понад 100 NFT. Основною причиною цього інциденту стала логічна вразливість контракту, змішування токенів ERC-1155 та ERC-721 призвело до логічного безладу. Токени ERC-721 не мають концепції кількості, але контракт використовує кількість для розрахунку ціни покупки токенів, а також у реалізації переказу токенів не було здійснено логічного розділення.
подія аірдропу APE Coin
17 березня 2022 року хакери використали миттєвий кредит, щоб отримати понад 60 тисяч монет APE Coin у вигляді повітряних дропів. Вразливість була виявлена в контракті повітряного дропу, який використовував миттєвий стан для визначення прав власності користувача на NFT, і цей стан можна було маніпулювати за допомогою миттєвого кредиту.
Захід Revest Finance
27 березня 2022 року проект Revest Finance зазнав атаки, внаслідок якої було втрачено близько 120 000 доларів. Це типовий випадок атаки повторного входу ERC-1155, коли контракт не перевіряє, чи вже існує під час випуску нових FNFT, а зміна стану виконується після функції випуску, що призводить до вразливості повторного входу.
NBA хайпування подією
21 квітня 2022 року проект NBA зазнав атаки. Уразливість стосувалася підробки та повторного використання підписів, контракт не зберігав вже використані підписи, а під час передачі параметрів не проводилася перевірка відправника.
Подія Akutar
23 квітня 2022 року проект Akutar через вразливість у смарт-контракті призвів до блокування 11,539 ETH (приблизно 34 мільйони доларів). У контракті були два ключові логічні недоліки: функцію повернення коштів могли зловмисно заблокувати, а також не було враховано ситуацію з повторними ставками користувачів.
Подія XCarnival
24 червня 2022 року XCarnival зазнав атаки, хакери отримали прибуток у 3087 ефірів (приблизно 3,8 мільйона доларів). Уразливість полягала в тому, що контракт не перевіряв, чи адреса xToken, що закладається NFT, є у білому списку, а також під час позики не було перевірки стану записів застави.
Поширені проблеми безпеки контрактів NFT
Підписання підробки та повторне використання:
Брак повторної перевірки виконання
Перевірка підпису неадекватна
Логічна вразливість:
Неправильне управління загальною кількістю монет
Порядок торгівлі під час аукціону залежить від атаки
Вторинна атака ERC721/ERC1155:
Функція сповіщення про перекази може призвести до повторного входу
Занадто широкий обсяг повноважень:
Непотрібні глобальні дозволи можуть призвести до крадіжки NFT
Маніпуляція цінами:
Ціна NFT залежить від маніпульованих факторів
З огляду на ці безпекові ризики, професійний аудит безпеки контрактів NFT є надзвичайно важливим, оскільки він може ефективно запобігти потенційним атакам і вразливостям.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
6
Репост
Поділіться
Прокоментувати
0/400
SnapshotStriker
· 08-09 20:29
Ще краще піти пограти на cex, це безпечніше
Переглянути оригіналвідповісти на0
0xOverleveraged
· 08-08 17:18
Ще один день, коли я безтурботно дивлюсь Discord і користуюсь кліповими купонами
Переглянути оригіналвідповісти на0
AlphaLeaker
· 08-08 16:39
З щитом у руках, що ще боятися атак?
Переглянути оригіналвідповісти на0
MindsetExpander
· 08-08 16:39
Не вдавайся до цієї пастки з хитрощами, важливо зрозуміти контракт.
Аналіз безпекових ризиків контрактів NFT: типовi випадки та заходи запобігання
Аналіз проблем безпеки NFT-контрактів та інтерпретація типових випадків
У першій половині 2022 року в сфері NFT сталося кілька випадків безпеки, які призвели до збитків приблизно у 64,9 мільйона доларів. Ці події в основному стосувалися експлуатації вразливостей контрактів, витоку приватних ключів та фішингових атак. Варто зазначити, що фішингові інциденти на платформі Discord відбуваються часто, майже щодня сервери піддаються атакам, що призводить до частих втрат серед особистих користувачів.
Аналіз типов безпекових інцидентів
Подія ### TreasureDAO
3 березня 2022 року платформа торгівлі TreasureDAO зазнала хакерської атаки, в результаті якої було вкрадено понад 100 NFT. Основною причиною цього інциденту стала логічна вразливість контракту, змішування токенів ERC-1155 та ERC-721 призвело до логічного безладу. Токени ERC-721 не мають концепції кількості, але контракт використовує кількість для розрахунку ціни покупки токенів, а також у реалізації переказу токенів не було здійснено логічного розділення.
подія аірдропу APE Coin
17 березня 2022 року хакери використали миттєвий кредит, щоб отримати понад 60 тисяч монет APE Coin у вигляді повітряних дропів. Вразливість була виявлена в контракті повітряного дропу, який використовував миттєвий стан для визначення прав власності користувача на NFT, і цей стан можна було маніпулювати за допомогою миттєвого кредиту.
Захід Revest Finance
27 березня 2022 року проект Revest Finance зазнав атаки, внаслідок якої було втрачено близько 120 000 доларів. Це типовий випадок атаки повторного входу ERC-1155, коли контракт не перевіряє, чи вже існує під час випуску нових FNFT, а зміна стану виконується після функції випуску, що призводить до вразливості повторного входу.
NBA хайпування подією
21 квітня 2022 року проект NBA зазнав атаки. Уразливість стосувалася підробки та повторного використання підписів, контракт не зберігав вже використані підписи, а під час передачі параметрів не проводилася перевірка відправника.
Подія Akutar
23 квітня 2022 року проект Akutar через вразливість у смарт-контракті призвів до блокування 11,539 ETH (приблизно 34 мільйони доларів). У контракті були два ключові логічні недоліки: функцію повернення коштів могли зловмисно заблокувати, а також не було враховано ситуацію з повторними ставками користувачів.
Подія XCarnival
24 червня 2022 року XCarnival зазнав атаки, хакери отримали прибуток у 3087 ефірів (приблизно 3,8 мільйона доларів). Уразливість полягала в тому, що контракт не перевіряв, чи адреса xToken, що закладається NFT, є у білому списку, а також під час позики не було перевірки стану записів застави.
Поширені проблеми безпеки контрактів NFT
Підписання підробки та повторне використання:
Логічна вразливість:
Вторинна атака ERC721/ERC1155:
Занадто широкий обсяг повноважень:
Маніпуляція цінами:
З огляду на ці безпекові ризики, професійний аудит безпеки контрактів NFT є надзвичайно важливим, оскільки він може ефективно запобігти потенційним атакам і вразливостям.