NFT Sözleşmesi Güvenliği: 2022'nin İlk Yarısındaki Olayların Gözden Geçirilmesi ve Denetim Noktaları
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve büyük kayıplara yol açtı. Veri platformlarının izlemelerine göre, bu altı ay içinde toplam 10 önemli NFT güvenlik olayı gerçekleşti ve toplam kayıp yaklaşık 64.90 milyon dolar. Saldırı yöntemleri arasında sözleşme açıklarının kullanılması, özel anahtar sızıntıları ve oltalama gibi yöntemler bulunuyor. Bu arada, Discord sunucuları sık sık saldırıya uğradı ve kullanıcılar oltalama bağlantılarına tıklamaları nedeniyle büyük kayıplar yaşadı.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart'ta, TreasureDAO ticaret platformu bir siber saldırıya uğradı, 100'den fazla NFT çalındı. Sebebi, sözleşmede bulunan mantık hatası, ERC-1155 ve ERC-721 token'larının karışık kullanımı nedeniyle fiyatlandırma hatalarıydı, bu da saldırganların NFT'leri sıfır maliyetle satın almasına olanak tanıdı. Bu, farklı token standartlarının karışık kullanımındaki riski vurgulamaktadır.
APE Coin hava durumu olayı
17 Mart'ta, bir hacker flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık olan, airdrop sözleşmesinin yalnızca çağrının anlık NFT sahiplik durumunu kontrol etmesidir ve flash kredinin bu durumu manipüle edebileceğini göz önünde bulundurmamıştır. Bu, airdrop mekanizmalarını dikkatlice tasarlamamız gerektiğini hatırlatıyor.
Revest Finance olayı
27 Mart'ta, Revest Finance saldırıya uğrayarak 120.000 dolar kaybetti. Sebebi, ERC-1155 sözleşmesinde bulunan reentrancy açığıydı; bu da saldırganların minting işlemini tekrar tekrar gerçekleştirmesine olanak tanıdı. Bu, ERC-1155 standardının güvenlik risklerini bir kez daha kanıtladı.
NBA projesi olayı
21 Nisan'da, NBA projesi bir saldırıya uğradı. Sözleşme, beyaz liste doğrulaması sırasında imza taklidi ve yeniden kullanma sorunlarıyla karşılaştı, kullanılan imzaların kaydı ve doğrulaması yapılmadı. Bu, imza doğrulama mekanizmasının zayıflığını ortaya koydu.
Akutar olayı
23 Nisan'da, Akutar projesi bir sözleşme açığı nedeniyle 11,5 bin ETH( yaklaşık 34 milyon dolar) kilitlendi. Ana sebep, geri ödeme fonksiyonu mantık hatası, kullanıcıların birden fazla teklif verme durumunu göz önünde bulundurmaması. Bu, kapsamlı testlerin önemini vurgulamaktadır.
XCarnival olayı
24 Haziran'da, XCarnival saldırıya uğradı ve 3087 ETH( yaklaşık 380 milyon dolar) kaybetti. Açık, staking ve borç verme mantığındaki hatalardan kaynaklanıyordu, xToken adresi ve teminat kayıt durumu doğrulanmamıştı. Bu, NFT borç verme platformlarının kendine özgü güvenlik zorluklarıyla karşılaştığını gösteriyor.
NFT Akıt Denetimi Sıkça Sorulan Sorular
İmza sahteciliği ve tekrar kullanımı: nonce doğrulaması eksik, imza kontrolü yeterince sıkı değil vb.
Mantık Açıkları: Madeni para arz kontrolünün başarısızlığı, ihale açıkları vb.
ERC721/ERC1155 yeniden giriş saldırısı: Transfer bildirim işlevi yeniden girişe neden olabilir.
Yetki alanı çok geniş: Gereksiz küresel yetkiler riski artırır.
Fiyat manipülasyonu: Dış sözleşme durumuna bağımlı olduğu için flash loan saldırısına açık.
Bu sorunlar, gerçek saldırılarda sıkça görülmektedir ve profesyonel güvenlik denetiminin gerekliliğini vurgulamaktadır. NFT projeleri, sözleşme güvenliğine önem vermeli, potansiyel riskleri kapsamlı bir şekilde değerlendirmeli ve önlem almalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
2022 yılının ilk yarısında NFT on güvenlik olayı incelemesi, kayıplar 65 milyon dolara yakın
NFT Sözleşmesi Güvenliği: 2022'nin İlk Yarısındaki Olayların Gözden Geçirilmesi ve Denetim Noktaları
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve büyük kayıplara yol açtı. Veri platformlarının izlemelerine göre, bu altı ay içinde toplam 10 önemli NFT güvenlik olayı gerçekleşti ve toplam kayıp yaklaşık 64.90 milyon dolar. Saldırı yöntemleri arasında sözleşme açıklarının kullanılması, özel anahtar sızıntıları ve oltalama gibi yöntemler bulunuyor. Bu arada, Discord sunucuları sık sık saldırıya uğradı ve kullanıcılar oltalama bağlantılarına tıklamaları nedeniyle büyük kayıplar yaşadı.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart'ta, TreasureDAO ticaret platformu bir siber saldırıya uğradı, 100'den fazla NFT çalındı. Sebebi, sözleşmede bulunan mantık hatası, ERC-1155 ve ERC-721 token'larının karışık kullanımı nedeniyle fiyatlandırma hatalarıydı, bu da saldırganların NFT'leri sıfır maliyetle satın almasına olanak tanıdı. Bu, farklı token standartlarının karışık kullanımındaki riski vurgulamaktadır.
APE Coin hava durumu olayı
17 Mart'ta, bir hacker flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık olan, airdrop sözleşmesinin yalnızca çağrının anlık NFT sahiplik durumunu kontrol etmesidir ve flash kredinin bu durumu manipüle edebileceğini göz önünde bulundurmamıştır. Bu, airdrop mekanizmalarını dikkatlice tasarlamamız gerektiğini hatırlatıyor.
Revest Finance olayı
27 Mart'ta, Revest Finance saldırıya uğrayarak 120.000 dolar kaybetti. Sebebi, ERC-1155 sözleşmesinde bulunan reentrancy açığıydı; bu da saldırganların minting işlemini tekrar tekrar gerçekleştirmesine olanak tanıdı. Bu, ERC-1155 standardının güvenlik risklerini bir kez daha kanıtladı.
NBA projesi olayı
21 Nisan'da, NBA projesi bir saldırıya uğradı. Sözleşme, beyaz liste doğrulaması sırasında imza taklidi ve yeniden kullanma sorunlarıyla karşılaştı, kullanılan imzaların kaydı ve doğrulaması yapılmadı. Bu, imza doğrulama mekanizmasının zayıflığını ortaya koydu.
Akutar olayı
23 Nisan'da, Akutar projesi bir sözleşme açığı nedeniyle 11,5 bin ETH( yaklaşık 34 milyon dolar) kilitlendi. Ana sebep, geri ödeme fonksiyonu mantık hatası, kullanıcıların birden fazla teklif verme durumunu göz önünde bulundurmaması. Bu, kapsamlı testlerin önemini vurgulamaktadır.
XCarnival olayı
24 Haziran'da, XCarnival saldırıya uğradı ve 3087 ETH( yaklaşık 380 milyon dolar) kaybetti. Açık, staking ve borç verme mantığındaki hatalardan kaynaklanıyordu, xToken adresi ve teminat kayıt durumu doğrulanmamıştı. Bu, NFT borç verme platformlarının kendine özgü güvenlik zorluklarıyla karşılaştığını gösteriyor.
NFT Akıt Denetimi Sıkça Sorulan Sorular
İmza sahteciliği ve tekrar kullanımı: nonce doğrulaması eksik, imza kontrolü yeterince sıkı değil vb.
Mantık Açıkları: Madeni para arz kontrolünün başarısızlığı, ihale açıkları vb.
ERC721/ERC1155 yeniden giriş saldırısı: Transfer bildirim işlevi yeniden girişe neden olabilir.
Yetki alanı çok geniş: Gereksiz küresel yetkiler riski artırır.
Fiyat manipülasyonu: Dış sözleşme durumuna bağımlı olduğu için flash loan saldırısına açık.
Bu sorunlar, gerçek saldırılarda sıkça görülmektedir ve profesyonel güvenlik denetiminin gerekliliğini vurgulamaktadır. NFT projeleri, sözleşme güvenliğine önem vermeli, potansiyel riskleri kapsamlı bir şekilde değerlendirmeli ve önlem almalıdır.