Анализ часто задаваемых вопросов по аудиту NFT-контрактов и типичных инцидентов безопасности
В первой половине 2022 года в области NFT произошло множество инцидентов безопасности, что привело к значительным экономическим потерям. Согласно данным мониторинговой платформы, в этот период произошло 10 крупных инцидентов безопасности NFT, общие убытки составили около 6490 миллионов долларов. Основные способы атак включают использование уязвимостей в контрактах, утечку приватных ключей и фишинг. Стоит отметить, что серверы Discord часто подвергались атакам, и случаи потерь пользователей из-за нажатия на фишинговые ссылки не редкость.
Анализ типичных событий безопасности NFT
Событие TreasureDAO
3 марта 2022 года платформа обмена TreasureDAO подверглась хакерской атаке, в результате которой было похищено более 100 NFT. Уязвимость находилась в функции buyItem контракта TreasureMarketplaceBuyer, из-за отсутствия проверки типа токена позволяла злоумышленникам приобретать токены при оплате ERC-20 токенами на сумму 0. Этот инцидент подчеркивает проблемы логической путаницы, вызванные смешиванием токенов ERC-1155 и ERC-721.
APE Coin аирдроп событие
17 марта 2022 года хакеры использовали флеш-займы для получения более 60 000 APE Coin через airdrop. Уязвимость заключалась в том, что контракт airdrop GrapesToken использовал alpha.balanceOf() и beta.balanceOf() для определения прав собственности пользователей на BAYC/MAYC NFT, в то время как этот метод мог только получать моментальное состояние, что делает его легкой целью для манипуляций с флеш-займами.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся атаке, в результате которой был потерян 120 000 долларов. Уязвимость была обнаружена в функции depositAdditionalToFNFT() контракта Revest, из-за проблемы с повторным входом ERC-1155 злоумышленник смог многократно выполнить операции по чеканке.
NBA "халявные" события
21 апреля 2022 года проект NBA подвергся хакерской атаке. В контракте The_Association_Sales при проверке белого списка имелись проблемы с подделкой и повторным использованием подписи, что в основном было вызвано отсутствием хранения использованных подписей и недостатком проверки msg.sender.
Событие Akutar
23 апреля 2022 года у контракта AkuAuction проекта Akutar была обнаружена уязвимость, в результате которой было заблокировано 11539 ETH (примерно 34 миллиона долларов). Основные проблемы включали логический дефект функции возврата средств и отсутствие учета ситуации с многократными ставками пользователей.
Событие XCarnival
24 июня 2022 года протокол кредитования NFT XCarnival подвергся атаке, в результате чего были потеряны около 3,8 миллиона долларов. В функции pledgeAndBorrow контракта XNFT существует логическая уязвимость, которая не проводит эффективную проверку адреса xToken и состояния записи залога.
Часто задаваемые вопросы по аудиту контрактов NFT
Подделка и повторное использование подписи:
Отсутствует проверка на повторное выполнение, разрешающее повторное использование данных подписи для чеканки NFT
Проверка подписи не строга, что может позволить любому пользователю пройти проверку и произвести чеканку монет.
Логическая уязвимость:
Администратор контракта может обойти ограничение на общее количество для чеканки.
В процессе аукциона существует риск атак, зависимых от порядка сделок.
Повторные атаки ERC721/ERC1155:
Использование функции уведомления о переводе может привести к атаке повторного входа
Слишком широкий объем полномочий:
Избыточные требования к авторизации могут привести к рискам кражи NFT
Манипуляции с ценами:
Цена NFT зависит от количества токенов, удерживаемых во внешнем контракте, и может быть подвержена влиянию атак через Flash Loan.
Эти проблемы часто возникают в реальных инцидентах безопасности, что подчеркивает важность профессионального аудита безопасности NFT-контрактов. Команды проектов должны придавать значение безопасности контрактов, своевременно выявлять и устранять потенциальные уязвимости, чтобы предотвратить повторение подобных инцидентов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Частые инциденты с безопасностью контрактов NFT: анализ шести典型案例 и重点审计
Анализ часто задаваемых вопросов по аудиту NFT-контрактов и типичных инцидентов безопасности
В первой половине 2022 года в области NFT произошло множество инцидентов безопасности, что привело к значительным экономическим потерям. Согласно данным мониторинговой платформы, в этот период произошло 10 крупных инцидентов безопасности NFT, общие убытки составили около 6490 миллионов долларов. Основные способы атак включают использование уязвимостей в контрактах, утечку приватных ключей и фишинг. Стоит отметить, что серверы Discord часто подвергались атакам, и случаи потерь пользователей из-за нажатия на фишинговые ссылки не редкость.
Анализ типичных событий безопасности NFT
Событие TreasureDAO
3 марта 2022 года платформа обмена TreasureDAO подверглась хакерской атаке, в результате которой было похищено более 100 NFT. Уязвимость находилась в функции buyItem контракта TreasureMarketplaceBuyer, из-за отсутствия проверки типа токена позволяла злоумышленникам приобретать токены при оплате ERC-20 токенами на сумму 0. Этот инцидент подчеркивает проблемы логической путаницы, вызванные смешиванием токенов ERC-1155 и ERC-721.
APE Coin аирдроп событие
17 марта 2022 года хакеры использовали флеш-займы для получения более 60 000 APE Coin через airdrop. Уязвимость заключалась в том, что контракт airdrop GrapesToken использовал alpha.balanceOf() и beta.balanceOf() для определения прав собственности пользователей на BAYC/MAYC NFT, в то время как этот метод мог только получать моментальное состояние, что делает его легкой целью для манипуляций с флеш-займами.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся атаке, в результате которой был потерян 120 000 долларов. Уязвимость была обнаружена в функции depositAdditionalToFNFT() контракта Revest, из-за проблемы с повторным входом ERC-1155 злоумышленник смог многократно выполнить операции по чеканке.
NBA "халявные" события
21 апреля 2022 года проект NBA подвергся хакерской атаке. В контракте The_Association_Sales при проверке белого списка имелись проблемы с подделкой и повторным использованием подписи, что в основном было вызвано отсутствием хранения использованных подписей и недостатком проверки msg.sender.
Событие Akutar
23 апреля 2022 года у контракта AkuAuction проекта Akutar была обнаружена уязвимость, в результате которой было заблокировано 11539 ETH (примерно 34 миллиона долларов). Основные проблемы включали логический дефект функции возврата средств и отсутствие учета ситуации с многократными ставками пользователей.
Событие XCarnival
24 июня 2022 года протокол кредитования NFT XCarnival подвергся атаке, в результате чего были потеряны около 3,8 миллиона долларов. В функции pledgeAndBorrow контракта XNFT существует логическая уязвимость, которая не проводит эффективную проверку адреса xToken и состояния записи залога.
Часто задаваемые вопросы по аудиту контрактов NFT
Подделка и повторное использование подписи:
Логическая уязвимость:
Повторные атаки ERC721/ERC1155:
Слишком широкий объем полномочий:
Манипуляции с ценами:
Эти проблемы часто возникают в реальных инцидентах безопасности, что подчеркивает важность профессионального аудита безопасности NFT-контрактов. Команды проектов должны придавать значение безопасности контрактов, своевременно выявлять и устранять потенциальные уязвимости, чтобы предотвратить повторение подобных инцидентов.