Безопасность NFT-контрактов: Обзор событий первой половины 2022 года и ключевые моменты аудита
В первой половине 2022 года в области NFT произошло множество инцидентов с безопасностью, которые привели к огромным потерям. Согласно данным платформы мониторинга, за полгода произошло 10 крупных инцидентов с безопасностью NFT, общие потери составили около 6490 миллионов долларов США. Способы атак в основном включали эксплуатацию уязвимостей контрактов, утечку приватных ключей и фишинг. В частности, серверы Discord часто подвергались атакам, пользователи понесли значительные убытки из-за нажатия на фишинговые ссылки.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта платформа TreasureDAO была атакована хакерами, в результате чего было украдено более 100 NFT. Причиной этого стало наличие логической уязвимости в контракте, смешение токенов ERC-1155 и ERC-721 привело к ошибкам в оценке, что позволило злоумышленникам купить NFT без затрат. Это подчеркивает риски, связанные с использованием различных стандартов токенов.
APE Coin аirdrop событие
17 марта хакеры использовали флеш-кредиты для получения более 60 000 APE Coin в ходеairdrop. Уязвимость заключалась в том, что контракт airdrop проверял только текущий статус владения NFT вызывающего, не учитывая, что флеш-кредиты могут манипулировать этим статусом. Это напоминает нам о необходимости осторожного проектирования механизмов airdrop.
Событие Revest Finance
27 марта Revest Finance подвергся атаке, в результате которой было потеряно 120 000 долларов. Причина в уязвимости повторного входа в контракте ERC-1155, что позволило злоумышленнику многократно выполнять операции по выпуску. Это снова подтверждает риски безопасности стандарта ERC-1155.
Событие проекта NBA
21 апреля проект NBA подвергся атаке. В контракте при проверке в белом списке имелись проблемы с подделкой и повторным использованием подписей, не было записей и проверок использованных подписей. Это выявило уязвимость механизма проверки подписей.
Событие Akutar
23 апреля проект Akutar из-за уязвимости контракта заблокировал 11,5 тысяч ETH(, что составляет около 34 миллионов долларов США). Основная причина — логическая ошибка функции возврата, не учитывающая ситуацию, когда пользователи делают ставки несколько раз. Это подчеркивает важность комплексного тестирования.
Событие XCarnival
24 июня XCarnival подвергся атаке, понеся убытки в 3087 ETH(, что составляет около 3,8 миллиона долларов США). Уязвимость заключалась в ошибках в логике стейкинга и кредитования, а также в отсутствии проверки адреса xToken и состояния залога. Это указывает на то, что платформы по кредитованию NFT сталкиваются с уникальными проблемами безопасности.
Часто задаваемые вопросы по аудиту NFT-контрактов
Подделка и повторное использование подписи: отсутствие проверки nonce, недостаточная строгость проверки подписи и т.д.
Логические уязвимости: неэффективный контроль общего объема эмиссии, уязвимости в аукционах и т.д.
Реентеративная атака ERC721/ERC1155: функция уведомления о переводе может привести к реентерации.
Слишком широкий диапазон полномочий: ненужные глобальные полномочия увеличивают риск.
Манипуляция ценами: зависимость от состояния внешних контрактов делает его уязвимым для атак с использованием быстрых кредитов.
Эти проблемы часто встречаются в реальных атаках, подчеркивая необходимость профессионального аудита безопасности. Команды NFT проектов должны обращать внимание на безопасность контрактов, комплексно оценивать потенциальные риски, чтобы предотвратить их.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
4
Поделиться
комментарий
0/400
GasFeeSobber
· 08-02 14:52
Эти деньги не знаю, кто заработал, смылись, смылись.
Посмотреть ОригиналОтветить0
Whale_Whisperer
· 08-02 14:49
Половина средств пропала.
Посмотреть ОригиналОтветить0
MetaMisfit
· 08-02 14:48
неудачники坑完坑完 继续 разыгрывайте людей как лохов
Посмотреть ОригиналОтветить0
SilentAlpha
· 08-02 14:41
Отрасли ещё предстоит пережить один сильный кризис.
Обзор десяти крупнейших инцидентов безопасности NFT за первую половину 2022 года. Убытки составили почти 65 миллионов долларов.
Безопасность NFT-контрактов: Обзор событий первой половины 2022 года и ключевые моменты аудита
В первой половине 2022 года в области NFT произошло множество инцидентов с безопасностью, которые привели к огромным потерям. Согласно данным платформы мониторинга, за полгода произошло 10 крупных инцидентов с безопасностью NFT, общие потери составили около 6490 миллионов долларов США. Способы атак в основном включали эксплуатацию уязвимостей контрактов, утечку приватных ключей и фишинг. В частности, серверы Discord часто подвергались атакам, пользователи понесли значительные убытки из-за нажатия на фишинговые ссылки.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта платформа TreasureDAO была атакована хакерами, в результате чего было украдено более 100 NFT. Причиной этого стало наличие логической уязвимости в контракте, смешение токенов ERC-1155 и ERC-721 привело к ошибкам в оценке, что позволило злоумышленникам купить NFT без затрат. Это подчеркивает риски, связанные с использованием различных стандартов токенов.
APE Coin аirdrop событие
17 марта хакеры использовали флеш-кредиты для получения более 60 000 APE Coin в ходеairdrop. Уязвимость заключалась в том, что контракт airdrop проверял только текущий статус владения NFT вызывающего, не учитывая, что флеш-кредиты могут манипулировать этим статусом. Это напоминает нам о необходимости осторожного проектирования механизмов airdrop.
Событие Revest Finance
27 марта Revest Finance подвергся атаке, в результате которой было потеряно 120 000 долларов. Причина в уязвимости повторного входа в контракте ERC-1155, что позволило злоумышленнику многократно выполнять операции по выпуску. Это снова подтверждает риски безопасности стандарта ERC-1155.
Событие проекта NBA
21 апреля проект NBA подвергся атаке. В контракте при проверке в белом списке имелись проблемы с подделкой и повторным использованием подписей, не было записей и проверок использованных подписей. Это выявило уязвимость механизма проверки подписей.
Событие Akutar
23 апреля проект Akutar из-за уязвимости контракта заблокировал 11,5 тысяч ETH(, что составляет около 34 миллионов долларов США). Основная причина — логическая ошибка функции возврата, не учитывающая ситуацию, когда пользователи делают ставки несколько раз. Это подчеркивает важность комплексного тестирования.
Событие XCarnival
24 июня XCarnival подвергся атаке, понеся убытки в 3087 ETH(, что составляет около 3,8 миллиона долларов США). Уязвимость заключалась в ошибках в логике стейкинга и кредитования, а также в отсутствии проверки адреса xToken и состояния залога. Это указывает на то, что платформы по кредитованию NFT сталкиваются с уникальными проблемами безопасности.
Часто задаваемые вопросы по аудиту NFT-контрактов
Подделка и повторное использование подписи: отсутствие проверки nonce, недостаточная строгость проверки подписи и т.д.
Логические уязвимости: неэффективный контроль общего объема эмиссии, уязвимости в аукционах и т.д.
Реентеративная атака ERC721/ERC1155: функция уведомления о переводе может привести к реентерации.
Слишком широкий диапазон полномочий: ненужные глобальные полномочия увеличивают риск.
Манипуляция ценами: зависимость от состояния внешних контрактов делает его уязвимым для атак с использованием быстрых кредитов.
Эти проблемы часто встречаются в реальных атаках, подчеркивая необходимость профессионального аудита безопасности. Команды NFT проектов должны обращать внимание на безопасность контрактов, комплексно оценивать потенциальные риски, чтобы предотвратить их.