Безпека NFT-контрактів: огляд подій першої половини 2022 року та ключові моменти аудиту

У першій половині 2022 року в сфері NFT сталося багато інцидентів безпеки, що призвело до величезних втрат. За даними одного з блокчейн-безпекових платформ, в першій половині року сталося 10 основних інцидентів безпеки NFT, загальні втрати становлять близько 6490 мільйонів доларів США. Основні методи атак включають експлуатацію вразливостей контрактів, витік приватних ключів та фішинг. Зокрема, фішинг-атаки на платформі Discord були особливо розповсюджені, практично щодня сервери зазнавали атак, що призводило до втрати активів користувачів.

Огляд типових безпекових інцидентів

Подія ### TreasureDAO

3 березня платформа торгівлі TreasureDAO зазнала хакерської атаки, в результаті якої було вкрадено понад 100 NFT. Вразливість виникла через логічну помилку в функції buyItem контракту TreasureMarketplaceBuyer, яка не перевіряла тип токена перед обчисленням ціни, що призвело до можливості купівлі NFT за ціну 0 токенів. Це виявляє проблему логічної плутанини, викликану змішуванням токенів ERC-1155 та ERC-721.

APE Coin аерозвідка подій

17 березня хакери використали闪电贷, щоб отримати понад 60 000 монет APE Coin в аірдропі. Уразливість була в контракті аірдропу AirdropGrapesToken, який лише через balanceOf() визначав право власності на NFT, а цей спосіб можна маніпулювати за допомогою闪电贷.

Захід Revest Finance

27 березня Revest Finance зазнав атаки, внаслідок якої було втрачено 120 000 доларів. Причиною цього стало наявність у контракті Revest вразливості повторного входу ERC-1155, яка неправильно обробляла логіку випуску FNFT.

NBA хайпування

21 квітня проект NBA зазнав хакерської атаки. У контракті The_Association_Sales під час перевірки в білому списку існувала проблема з підробкою та повторним використанням підписів, не було зберігання та перевірки вже використаних підписів.

Подія Akutar

23 квітня внаслідок вразливості контракту AkuAuction проекту Akutar було заблоковано 11,5 тисяч ETH (, що приблизно дорівнює 34 мільйонам доларів ). Основними проблемами є два логічні недоліки: функцію повернення коштів можна ненавмисно перервати, а також не враховано ситуацію з багаторазовими ставками користувачів.

XCarnival подія

24 червня протокол кредитування XCarnival зазнав атаки з втратами приблизно 3,8 мільйона доларів США. У контракті XNFT функція pledgeAndBorrow не проводила ефективну перевірку адреси xToken та стану застави.

Поширені питання щодо аудиту контрактів NFT

1. Підробка і повторне використання підпису:

   • Бракує перевірки на повторне виконання, наприклад, nonce користувача
   • Перевірка підпису не є суворою, наприклад, якщо не перевіряється нульова адреса

2. Логічна помилка:

   • Неправильне обмеження загальної кількості монет
   • Процес торгівлі залежить від порядку транзакцій

3. Напад на повторне введення ERC721/ERC1155:

   • Функція сповіщення про переказ може призвести до повторного входу

4. Занадто широкий діапазон прав

   • Вимагає надмірного дозволу, збільшує ризик крадіжки активів

5. Маніпуляція цінами:

   • Ціна NFT залежить від зовнішніх даних, які можуть бути маніпульованими

З огляду на часті випадки безпеки контрактів NFT та значні втрати, розробники проектів повинні приділяти увагу аудиту безпеки контрактів, звертаючись до професійних компаній з безпеки для проведення всебічного тестування, щоб зменшити ризики безпеки.