أمان عقد NFT: مراجعة أحداث النصف الأول من 2022 ونقاط التدقيق
شهد النصف الأول من عام 2022 تكرار حوادث الأمان في مجال NFT، مما تسبب في خسائر ضخمة. وفقًا لمراقبة منصة البيانات، حدثت 10 حوادث أمان كبيرة في NFT خلال هذه الستة أشهر، بإجمالي خسائر قدرها حوالي 6490 مليون دولار. كانت طرق الهجوم الرئيسية تشمل استغلال ثغرات العقود، وتسرب المفاتيح الخاصة، والاحتيال. ومن بين ذلك، تعرض خادم Discord للهجمات المتكررة، حيث تكبد المستخدمون خسائر فادحة بسبب نقرهم على الروابط الاحتيالية.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس، تعرضت منصة TreasureDAO للتداول لهجوم من قراصنة، وتم سرقة أكثر من 100 NFT. السبب هو وجود ثغرة منطقية في العقد، واستخدام رموز ERC-1155 و ERC-721 معًا أدى إلى خطأ في التسعير، مما سمح للمهاجمين بشراء NFT بتكلفة صفرية. وهذا يبرز المخاطر المرتبطة باستخدام معايير رموز مختلفة معًا.
حدث توزيع عملة APE
في 17 مارس، استغل القراصنة القرض الفوري للحصول على أكثر من 60,000 من عملة APE Coin المجانية. تكمن الثغرة في أن عقد التوزيع المجاني يتحقق فقط من حالة حيازة NFT الفورية للمتصل، دون النظر في إمكانية التلاعب بهذه الحالة من خلال القرض الفوري. هذا يذكرنا بضرورة تصميم آليات التوزيع المجاني بحذر.
فعالية Revest Finance
في 27 مارس، تعرضت Revest Finance للهجوم وخسرت 120,000 دولار. كان السبب هو وجود ثغرة إعادة الدخول في عقد ERC-1155، مما يسمح للمهاجمين بتنفيذ عمليات السك بشكل متكرر. هذا يثبت مرة أخرى المخاطر الأمنية لمعيار ERC-1155.
أحداث مشروع NBA
في 21 أبريل، تعرض مشروع NBA لهجوم. كانت هناك مشكلة في انتحال الهوية وإعادة استخدام التوقيعات أثناء التحقق من قائمة الانتظار، حيث لم يتم تسجيل والتحقق من التوقيعات المستخدمة. هذا يكشف عن ضعف آلية التحقق من التوقيع.
حدث أكوتار
في 23 أبريل، تم قفل 1.15 ألف ETH (، حوالي 34 مليون دولار أمريكي )، بسبب ثغرة في عقد مشروع Akutar. السبب الرئيسي هو خطأ في منطق دالة الاسترداد، حيث لم يتم أخذ حالة تقديم العروض المتكررة من قبل المستخدمين في الاعتبار. وهذا يبرز أهمية الاختبار الشامل.
حدث XCarnival
في 24 يونيو، تعرضت XCarnival لهجوم أدى إلى خسارة 3087 ETH( بحوالي 3.8 مليون دولار). كانت الثغرة في منطق الرهن والإقراض حيث لم يتم التحقق من عنوان xToken وحالة سجلات الرهن. وهذا يدل على أن منصة إقراض NFT تواجه تحديات أمنية فريدة.
أسئلة شائعة حول تدقيق عقود NFT
انتحال التوقيع وإعادة استخدامه: نقص التحقق من nonce، وعدم صرامة فحص التوقيع وغيرها.
ثغرات منطقية: فشل التحكم في إجمالي كمية العملة، ثغرات في المزايدة، إلخ.
هجمات إعادة الدخول ERC721/ERC1155: قد تؤدي وظيفة إشعار التحويل إلى إعادة الدخول.
نطاق التفويض واسع جدًا: التفويض العام غير الضروري يزيد من المخاطر.
التلاعب بالأسعار: الاعتماد على حالة العقد الخارجي يجعلها عرضة لهجمات القرض السريع.
تظهر هذه المشاكل بشكل متكرر في الهجمات الفعلية، مما يبرز ضرورة التدقيق الأمني الاحترافي. يجب على فرق مشاريع NFT أن تعير اهتمامًا لسلامة العقود، وأن تقوم بتقييم شامل للمخاطر المحتملة لتجنب المشكلات قبل حدوثها.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
استعراض لأهم عشرة أحداث أمان لنظام NFT في النصف الأول من عام 2022 مع خسائر تقارب 6500 دولار أمريكي
أمان عقد NFT: مراجعة أحداث النصف الأول من 2022 ونقاط التدقيق
شهد النصف الأول من عام 2022 تكرار حوادث الأمان في مجال NFT، مما تسبب في خسائر ضخمة. وفقًا لمراقبة منصة البيانات، حدثت 10 حوادث أمان كبيرة في NFT خلال هذه الستة أشهر، بإجمالي خسائر قدرها حوالي 6490 مليون دولار. كانت طرق الهجوم الرئيسية تشمل استغلال ثغرات العقود، وتسرب المفاتيح الخاصة، والاحتيال. ومن بين ذلك، تعرض خادم Discord للهجمات المتكررة، حيث تكبد المستخدمون خسائر فادحة بسبب نقرهم على الروابط الاحتيالية.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس، تعرضت منصة TreasureDAO للتداول لهجوم من قراصنة، وتم سرقة أكثر من 100 NFT. السبب هو وجود ثغرة منطقية في العقد، واستخدام رموز ERC-1155 و ERC-721 معًا أدى إلى خطأ في التسعير، مما سمح للمهاجمين بشراء NFT بتكلفة صفرية. وهذا يبرز المخاطر المرتبطة باستخدام معايير رموز مختلفة معًا.
حدث توزيع عملة APE
في 17 مارس، استغل القراصنة القرض الفوري للحصول على أكثر من 60,000 من عملة APE Coin المجانية. تكمن الثغرة في أن عقد التوزيع المجاني يتحقق فقط من حالة حيازة NFT الفورية للمتصل، دون النظر في إمكانية التلاعب بهذه الحالة من خلال القرض الفوري. هذا يذكرنا بضرورة تصميم آليات التوزيع المجاني بحذر.
فعالية Revest Finance
في 27 مارس، تعرضت Revest Finance للهجوم وخسرت 120,000 دولار. كان السبب هو وجود ثغرة إعادة الدخول في عقد ERC-1155، مما يسمح للمهاجمين بتنفيذ عمليات السك بشكل متكرر. هذا يثبت مرة أخرى المخاطر الأمنية لمعيار ERC-1155.
أحداث مشروع NBA
في 21 أبريل، تعرض مشروع NBA لهجوم. كانت هناك مشكلة في انتحال الهوية وإعادة استخدام التوقيعات أثناء التحقق من قائمة الانتظار، حيث لم يتم تسجيل والتحقق من التوقيعات المستخدمة. هذا يكشف عن ضعف آلية التحقق من التوقيع.
حدث أكوتار
في 23 أبريل، تم قفل 1.15 ألف ETH (، حوالي 34 مليون دولار أمريكي )، بسبب ثغرة في عقد مشروع Akutar. السبب الرئيسي هو خطأ في منطق دالة الاسترداد، حيث لم يتم أخذ حالة تقديم العروض المتكررة من قبل المستخدمين في الاعتبار. وهذا يبرز أهمية الاختبار الشامل.
حدث XCarnival
في 24 يونيو، تعرضت XCarnival لهجوم أدى إلى خسارة 3087 ETH( بحوالي 3.8 مليون دولار). كانت الثغرة في منطق الرهن والإقراض حيث لم يتم التحقق من عنوان xToken وحالة سجلات الرهن. وهذا يدل على أن منصة إقراض NFT تواجه تحديات أمنية فريدة.
أسئلة شائعة حول تدقيق عقود NFT
انتحال التوقيع وإعادة استخدامه: نقص التحقق من nonce، وعدم صرامة فحص التوقيع وغيرها.
ثغرات منطقية: فشل التحكم في إجمالي كمية العملة، ثغرات في المزايدة، إلخ.
هجمات إعادة الدخول ERC721/ERC1155: قد تؤدي وظيفة إشعار التحويل إلى إعادة الدخول.
نطاق التفويض واسع جدًا: التفويض العام غير الضروري يزيد من المخاطر.
التلاعب بالأسعار: الاعتماد على حالة العقد الخارجي يجعلها عرضة لهجمات القرض السريع.
تظهر هذه المشاكل بشكل متكرر في الهجمات الفعلية، مما يبرز ضرورة التدقيق الأمني الاحترافي. يجب على فرق مشاريع NFT أن تعير اهتمامًا لسلامة العقود، وأن تقوم بتقييم شامل للمخاطر المحتملة لتجنب المشكلات قبل حدوثها.