تحليل الأسئلة الشائعة حول تدقيق عقود NFT والأحداث الأمنية النموذجية
خلال النصف الأول من عام 2022، تكررت حوادث الأمان في مجال NFT، مما أدى إلى خسائر اقتصادية كبيرة. وفقًا لمراقبة منصة البيانات، حدثت 10 حوادث أمان كبيرة لـ NFT خلال هذه الفترة، مع خسائر تقدر بحوالي 6490 مليون دولار. وكانت طرق الهجوم الرئيسية تشمل استغلال ثغرات العقود، تسريب المفاتيح الخاصة، والخداع. ومن الجدير بالذكر أن خوادم Discord تعرضت للهجوم بشكل متكرر، وغالبًا ما يتعرض المستخدمون لخسائر نتيجة نقرهم على روابط احتيالية.
تحليل الحوادث الأمنية النموذجية لـ NFT
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO للتداول لهجوم من قِبل قراصنة، مما أدى إلى سرقة أكثر من 100 NFT. كان الخلل موجودًا في دالة buyItem لعقد TreasureMarketplaceBuyer، حيث سمح نقص في التحقق من نوع الرمز المميز للمهاجمين بشراء الرموز المميزة عندما كانت قيمة الدفع من رموز ERC-20 تساوي 0. تسلط هذه الحادثة الضوء على مشكلة الفوضى المنطقية الناتجة عن استخدام رموز ERC-1155 وERC-721 معًا.
حدث توزيع عملة APE
في 17 مارس 2022، استخدم قراصنة القروض الفورية للحصول على أكثر من 60,000 قطعة من APE Coin من خلال عملية توزيع. كانت الثغرة ناتجة عن استخدام عقد توزيع AirdropGrapesToken لـ alpha.balanceOf() و beta.balanceOf() لتحديد ملكية المستخدم لـ BAYC/MAYC NFT، حيث إن هذه الطريقة لا يمكنها إلا الحصول على الحالة الفورية، مما يجعلها عرضة للتلاعب بواسطة القروض الفورية.
فعالية Revest Finance
في 27 مارس 2022، تعرض Revest Finance للهجوم، مما أسفر عن خسارة قدرها 120,000 دولار. ظهرت الثغرة في دالة depositAdditionalToFNFT() لعقد Revest، حيث تمكن المهاجمون من تنفيذ عمليات سك متعددة بسبب مشكلة إعادة الدخول في ERC-1155.
حدث NBA لاقتناص الفرص
في 21 أبريل 2022، تعرض مشروع NBA لهجوم قراصنة. كانت هناك مشكلات في تزوير وإعادة استخدام التوقيع في عقد The_Association_Sales أثناء التحقق من قائمة التوقيع البيضاء، ويرجع ذلك بشكل أساسي إلى عدم تخزين التوقيعات المستخدمة وافتقار التحقق من msg.sender.
حدث أكوتار
في 23 أبريل 2022، أدى ثغرة عقد AkuAuction لمشروع Akutar إلى قفل 11539ETH (حوالي 34 مليون دولار). تشمل المشكلات الرئيسية عيبًا منطقيًا في دالة الاسترداد وعدم أخذ في الاعتبار حالة تقديم المستخدم لعروض متعددة.
حدث XCarnival
في 24 يونيو 2022، تعرض بروتوكول إقراض NFT XCarnival لهجوم، مما أدى إلى خسارة حوالي 3.8 مليون دولار. كانت هناك ثغرة منطقية في دالة pledgeAndBorrow لعقد XNFT، حيث لم يتم التحقق بشكل فعال من عنوان xToken وحالة سجل الرهن.
الأسئلة الشائعة حول تدقيق عقود NFT
انتحال التوقيع وإعادة استخدامه:
نقص التحقق من التنفيذ المتكرر، مما يسمح بإعادة استخدام بيانات التوقيع لصك NFT
فحص التوقيع غير صارم، مما قد يؤدي إلى تمكين أي مستخدم من إنشاء عملات من خلال الفحص
ثغرات منطقية:
قد يتمكن مسؤول العقد من تجاوز حد الكمية لإصدار العملات
هناك خطر هجوم يعتمد على ترتيب المعاملات أثناء عملية المزاد
هجمات إعادة الدخول ERC721/ERC1155:
قد يؤدي استخدام ميزة إشعار التحويل إلى هجمات إعادة الدخول
نطاق التفويض واسع جداً:
قد يؤدي طلب التفويض المفرط إلى مخاطر سرقة NFT
التحكم في الأسعار:
يعتمد سعر NFT على كمية توكنات العقود الخارجية المحتفظ بها، وقد يتأثر بهجمات القروض الفورية.
تظهر هذه المشكلات بشكل متكرر في الحوادث الأمنية الفعلية، مما يبرز أهمية إجراء تدقيق أمني متخصص لعقود NFT. يجب على فريق المشروع أن يولي أهمية لأمان العقود، وأن يكتشف ويصلح الثغرات المحتملة في الوقت المناسب، لمنع حدوث مثل هذه الحوادث مرة أخرى.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تكرار حوادث أمان عقود NFT تحليل ست حالات نموذجية ونقاط تدقيق رئيسية
تحليل الأسئلة الشائعة حول تدقيق عقود NFT والأحداث الأمنية النموذجية
خلال النصف الأول من عام 2022، تكررت حوادث الأمان في مجال NFT، مما أدى إلى خسائر اقتصادية كبيرة. وفقًا لمراقبة منصة البيانات، حدثت 10 حوادث أمان كبيرة لـ NFT خلال هذه الفترة، مع خسائر تقدر بحوالي 6490 مليون دولار. وكانت طرق الهجوم الرئيسية تشمل استغلال ثغرات العقود، تسريب المفاتيح الخاصة، والخداع. ومن الجدير بالذكر أن خوادم Discord تعرضت للهجوم بشكل متكرر، وغالبًا ما يتعرض المستخدمون لخسائر نتيجة نقرهم على روابط احتيالية.
تحليل الحوادث الأمنية النموذجية لـ NFT
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO للتداول لهجوم من قِبل قراصنة، مما أدى إلى سرقة أكثر من 100 NFT. كان الخلل موجودًا في دالة buyItem لعقد TreasureMarketplaceBuyer، حيث سمح نقص في التحقق من نوع الرمز المميز للمهاجمين بشراء الرموز المميزة عندما كانت قيمة الدفع من رموز ERC-20 تساوي 0. تسلط هذه الحادثة الضوء على مشكلة الفوضى المنطقية الناتجة عن استخدام رموز ERC-1155 وERC-721 معًا.
حدث توزيع عملة APE
في 17 مارس 2022، استخدم قراصنة القروض الفورية للحصول على أكثر من 60,000 قطعة من APE Coin من خلال عملية توزيع. كانت الثغرة ناتجة عن استخدام عقد توزيع AirdropGrapesToken لـ alpha.balanceOf() و beta.balanceOf() لتحديد ملكية المستخدم لـ BAYC/MAYC NFT، حيث إن هذه الطريقة لا يمكنها إلا الحصول على الحالة الفورية، مما يجعلها عرضة للتلاعب بواسطة القروض الفورية.
فعالية Revest Finance
في 27 مارس 2022، تعرض Revest Finance للهجوم، مما أسفر عن خسارة قدرها 120,000 دولار. ظهرت الثغرة في دالة depositAdditionalToFNFT() لعقد Revest، حيث تمكن المهاجمون من تنفيذ عمليات سك متعددة بسبب مشكلة إعادة الدخول في ERC-1155.
حدث NBA لاقتناص الفرص
في 21 أبريل 2022، تعرض مشروع NBA لهجوم قراصنة. كانت هناك مشكلات في تزوير وإعادة استخدام التوقيع في عقد The_Association_Sales أثناء التحقق من قائمة التوقيع البيضاء، ويرجع ذلك بشكل أساسي إلى عدم تخزين التوقيعات المستخدمة وافتقار التحقق من msg.sender.
حدث أكوتار
في 23 أبريل 2022، أدى ثغرة عقد AkuAuction لمشروع Akutar إلى قفل 11539ETH (حوالي 34 مليون دولار). تشمل المشكلات الرئيسية عيبًا منطقيًا في دالة الاسترداد وعدم أخذ في الاعتبار حالة تقديم المستخدم لعروض متعددة.
حدث XCarnival
في 24 يونيو 2022، تعرض بروتوكول إقراض NFT XCarnival لهجوم، مما أدى إلى خسارة حوالي 3.8 مليون دولار. كانت هناك ثغرة منطقية في دالة pledgeAndBorrow لعقد XNFT، حيث لم يتم التحقق بشكل فعال من عنوان xToken وحالة سجل الرهن.
الأسئلة الشائعة حول تدقيق عقود NFT
انتحال التوقيع وإعادة استخدامه:
ثغرات منطقية:
هجمات إعادة الدخول ERC721/ERC1155:
نطاق التفويض واسع جداً:
التحكم في الأسعار:
تظهر هذه المشكلات بشكل متكرر في الحوادث الأمنية الفعلية، مما يبرز أهمية إجراء تدقيق أمني متخصص لعقود NFT. يجب على فريق المشروع أن يولي أهمية لأمان العقود، وأن يكتشف ويصلح الثغرات المحتملة في الوقت المناسب، لمنع حدوث مثل هذه الحوادث مرة أخرى.