NFT Sözleşme Denetimi Yaygın Sorular ve Tipik Güvenlik Olayları Analizi
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve büyük ekonomik kayıplara neden oldu. Veri platformunun izlemelerine göre, bu dönemde toplam 10 önemli NFT güvenlik olayı gerçekleşti ve yaklaşık 6490 milyon dolar kayıp yaşandı. Saldırı yöntemleri arasında sözleşme açıklarından yararlanma, özel anahtar sızıntısı ve oltalama gibi yöntemler başı çekmektedir. Dikkate değer bir nokta, Discord sunucularının sıkça saldırıya uğraması ve kullanıcıların oltalama bağlantılarına tıklamaları nedeniyle kayıplar yaşamasıdır.
Tipik NFT Güvenlik Olayları Analizi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Açık, TreasureMarketplaceBuyer sözleşmesindeki buyItem fonksiyonunda bulunuyordu; token türü kontrolünün eksikliği, saldırganların ERC-20 token ödemesi 0 olduğunda token satın almalarına izin verdi. Bu olay, ERC-1155 ve ERC-721 tokenlerinin karmaşık kullanımı nedeniyle ortaya çıkan mantık karışıklığı sorununu vurgulamaktadır.
APE Coin airdrop olayı
17 Mart 2022'de, bir hacker, lightning loan kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, AirdropGrapesToken airdrop sözleşmesinin alpha.balanceOf() ve beta.balanceOf() kullanarak kullanıcıların BAYC/MAYC NFT üzerindeki mülkiyetini belirlemesinden kaynaklanıyordu ve bu yöntem yalnızca anlık durumu elde edebiliyor, lightning loan ile manipüle edilmesi kolaydı.
Revest Finance olayı
27 Mart 2022'de, Revest Finance saldırıya uğradı ve 120.000 dolar kaybetti. Açık, Revest sözleşmesinin depositAdditionalToFNFT() fonksiyonunda meydana geldi; ERC-1155 yeniden giriş problemi nedeniyle, saldırganlar minting işlemini birden fazla kez gerçekleştirebildi.
23 Nisan 2022'de, Akutar projesinin AkuAuction sözleşmesindeki bir açık, 11539 ETH'nin (yaklaşık 34 milyon dolar) kilitlenmesine neden oldu. Ana sorunlar arasında geri ödeme fonksiyonundaki mantık hatası ve kullanıcıların birden fazla teklif vermesi durumunun dikkate alınmaması bulunuyor.
XCarnival olayı
24 Haziran 2022'de, NFT kredi protokolü XCarnival saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybedildi. XNFT sözleşmesinin pledgeAndBorrow fonksiyonunda mantıksal bir açık bulunuyordu, xToken adresi ve teminat kayıt durumu üzerinde etkili bir kontrol yapılmadı.
NFT Sözleşmesi Denetimi Sıkça Sorulan Sorular
İmza kötüye kullanımı ve tekrar kullanımı:
Tekrar yürütme doğrulaması eksik, imza verilerinin tekrar kullanılarak NFT basımına izin veriyor.
İmza kontrolü sıkı değil, bu da herhangi bir kullanıcının kontrolü geçip madeni para basmasına neden olabilir.
Mantıksal Açıklar:
Sözleşme yöneticisi toplam miktar kısıtlamasını aşarak madeni para basabilir.
Müzayede sürecinde işlem sırası bağımlılığı saldırı riski bulunmaktadır.
ERC721/ERC1155 yeniden giriş saldırısı:
Transfer bildirim işlevinin kullanılması tekrar giriş saldırısına neden olabilir.
Yetki kapsamı çok geniş:
Aşırı yetkilendirme talebi, NFT'nin çalınma riskine yol açabilir.
Fiyat Manipülasyonu:
NFT fiyatı, dış sözleşme token sahipliğine bağlıdır ve flash loan saldırılarından etkilenebilir.
Bu sorunlar, gerçek güvenlik olaylarında sıkça ortaya çıkmakta ve NFT sözleşmelerinin profesyonel güvenlik denetimlerinin önemini vurgulamaktadır. Proje sahipleri, sözleşme güvenliğine önem vermeli, potansiyel açıkları zamanında tespit edip düzeltmeli ve benzer olayların bir daha yaşanmaması için önlem almalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
NFT akıllı sözleşme güvenlik olayları sıkça yaşanıyor. Altı tipik vakayı analiz etme ve denetim odakları.
NFT Sözleşme Denetimi Yaygın Sorular ve Tipik Güvenlik Olayları Analizi
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve büyük ekonomik kayıplara neden oldu. Veri platformunun izlemelerine göre, bu dönemde toplam 10 önemli NFT güvenlik olayı gerçekleşti ve yaklaşık 6490 milyon dolar kayıp yaşandı. Saldırı yöntemleri arasında sözleşme açıklarından yararlanma, özel anahtar sızıntısı ve oltalama gibi yöntemler başı çekmektedir. Dikkate değer bir nokta, Discord sunucularının sıkça saldırıya uğraması ve kullanıcıların oltalama bağlantılarına tıklamaları nedeniyle kayıplar yaşamasıdır.
Tipik NFT Güvenlik Olayları Analizi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Açık, TreasureMarketplaceBuyer sözleşmesindeki buyItem fonksiyonunda bulunuyordu; token türü kontrolünün eksikliği, saldırganların ERC-20 token ödemesi 0 olduğunda token satın almalarına izin verdi. Bu olay, ERC-1155 ve ERC-721 tokenlerinin karmaşık kullanımı nedeniyle ortaya çıkan mantık karışıklığı sorununu vurgulamaktadır.
APE Coin airdrop olayı
17 Mart 2022'de, bir hacker, lightning loan kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, AirdropGrapesToken airdrop sözleşmesinin alpha.balanceOf() ve beta.balanceOf() kullanarak kullanıcıların BAYC/MAYC NFT üzerindeki mülkiyetini belirlemesinden kaynaklanıyordu ve bu yöntem yalnızca anlık durumu elde edebiliyor, lightning loan ile manipüle edilmesi kolaydı.
Revest Finance olayı
27 Mart 2022'de, Revest Finance saldırıya uğradı ve 120.000 dolar kaybetti. Açık, Revest sözleşmesinin depositAdditionalToFNFT() fonksiyonunda meydana geldi; ERC-1155 yeniden giriş problemi nedeniyle, saldırganlar minting işlemini birden fazla kez gerçekleştirebildi.
NBA koyun yününü alma olayı
2022年4月21日,NBA项目遭遇黑客攻击. The_Association_Sales契约在验证白名单时存在签名冒用和复用问题,主要是由于未存储已使用的签名和缺乏msg.sender校验.
Akutar olayı
23 Nisan 2022'de, Akutar projesinin AkuAuction sözleşmesindeki bir açık, 11539 ETH'nin (yaklaşık 34 milyon dolar) kilitlenmesine neden oldu. Ana sorunlar arasında geri ödeme fonksiyonundaki mantık hatası ve kullanıcıların birden fazla teklif vermesi durumunun dikkate alınmaması bulunuyor.
XCarnival olayı
24 Haziran 2022'de, NFT kredi protokolü XCarnival saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybedildi. XNFT sözleşmesinin pledgeAndBorrow fonksiyonunda mantıksal bir açık bulunuyordu, xToken adresi ve teminat kayıt durumu üzerinde etkili bir kontrol yapılmadı.
NFT Sözleşmesi Denetimi Sıkça Sorulan Sorular
İmza kötüye kullanımı ve tekrar kullanımı:
Mantıksal Açıklar:
ERC721/ERC1155 yeniden giriş saldırısı:
Yetki kapsamı çok geniş:
Fiyat Manipülasyonu:
Bu sorunlar, gerçek güvenlik olaylarında sıkça ortaya çıkmakta ve NFT sözleşmelerinin profesyonel güvenlik denetimlerinin önemini vurgulamaktadır. Proje sahipleri, sözleşme güvenliğine önem vermeli, potansiyel açıkları zamanında tespit edip düzeltmeli ve benzer olayların bir daha yaşanmaması için önlem almalıdır.