Безопасность NFT-контрактов: Обзор событий первой половины 2022 года и основные моменты аудита
В первой половине 2022 года в области NFT произошло множество инцидентов, связанных с безопасностью, что привело к огромным потерям. По данным одной из платформ по безопасности блокчейна, в первой половине года произошло 10 основных инцидентов безопасности NFT, общие потери составили около 6490 долларов США. Основные методы атак включали использование уязвимостей контрактов, утечку приватных ключей и фишинг. Особенно широко распространены фишинг-атаки на платформе Discord, где почти ежедневно серверы подвергались атакам, что приводило к потерям активов пользователей.
Обзор типичных инцидентов безопасности
Событие TreasureDAO
3 марта платформа торговли TreasureDAO подверглась хакерской атаке, в результате которой было украдено более 100 NFT. Уязвимость возникла из-за логической ошибки в функции buyItem контракта TreasureMarketplaceBuyer, которая не проверяла тип токена перед вычислением цены, что привело к возможности покупки NFT по цене 0 токенов. Это подчеркивает проблему логической путаницы, вызванную смешиванием токенов ERC-1155 и ERC-721.
Событие аирдропа APE Coin
17 марта хакеры использовали флеш-кредиты для получения более 60 000 APE Coin через аирдроп. Уязвимость была обнаружена в контракте аирдропа AirdropGrapesToken, который определял право собственности на NFT только через balanceOf(), и этот метод можно было манипулировать с помощью флеш-кредитов.
Событие Revest Finance
27 марта Revest Finance подвергся атаке и понес убыток в 120 000 долларов. Причиной стала уязвимость повторного входа ERC-1155 в контракте Revest, неправильно обрабатывающая логику чеканки FNFT.
NBA事件 по извлечению выгоды
21 апреля проект NBA подвергся хакерской атаке. В контракте The_Association_Sales существуют проблемы с подделкой и повторным использованием подписей при верификации в белом списке, не было хранения и проверки уже использованных подписей.
Событие Akutar
23 апреля, у проекта Akutar произошла уязвимость контракта AkuAuction, которая привела к блокировке 11,5 тыс. ETH ( на сумму около 34 млн долларов ). Основными проблемами являются два логических уязвимости: функция возврата может быть прервана злоумышленником, а также не учитывается ситуация с многократными ставками пользователей.
Событие XCarnival
24 июня протокол кредитования XCarnival подвергся атаке, в результате чего был потерян около 3,8 миллиона долларов. В контракте XNFT функция pledgeAndBorrow не проводила эффективную проверку адреса xToken и состояния записи залога.
Часто задаваемые вопросы по аудиту NFT контрактов
Подделка и повторное использование подписей:
Отсутствует проверка на повторное выполнение, например, nonce пользователя
Проверка подписи нестрога, например, если не проверен нулевой адрес
Логическая уязвимость:
Неправильное ограничение общего объема эмиссии монет
Процесс аукциона зависит от порядка сделок
Атака повторного входа ERC721/ERC1155:
Функция уведомления о переводе может привести к повторным входам
Слишком широкий объем полномочий:
Требуется чрезмерное разрешение, увеличивает риск кражи активов
Манипуляция ценами:
Цена NFT зависит от внешних данных, которые могут быть манипулированы
Учитывая частые инциденты с безопасностью NFT-контрактов и большие потери, проектные команды должны уделять внимание аудиту безопасности контрактов, обращаться к профессиональным компаниям по безопасности для проведения комплексной проверки, чтобы снизить риски безопасности.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
18 Лайков
Награда
18
7
Поделиться
комментарий
0/400
PessimisticOracle
· 07-08 18:02
только потерял 6000w долларов США
Посмотреть ОригиналОтветить0
LayerZeroHero
· 07-07 22:54
Действительно, возникли проблемы с аудитом, данные о цепочке не могут обмануть.
Посмотреть ОригиналОтветить0
BoredRiceBall
· 07-06 22:23
неудачники теряют, как будто масло в кастрюле взорвалось
Посмотреть ОригиналОтветить0
ThesisInvestor
· 07-06 15:15
Это просто абсурд, посмотрите на каждого из них.
Посмотреть ОригиналОтветить0
ClassicDumpster
· 07-06 15:14
Снова неудачники разыгрываются как лохи.
Посмотреть ОригиналОтветить0
MidnightSeller
· 07-06 15:10
Будут играть для лохов, не закончится!
Посмотреть ОригиналОтветить0
MEVHunterX
· 07-06 14:52
Играй, но не теряй деньги. Команда проекта действительно ловушка.
Частые проблемы с безопасностью контрактов NFT. В первой половине 2022 года убытки составили 64,9 миллиона долларов.
Безопасность NFT-контрактов: Обзор событий первой половины 2022 года и основные моменты аудита
В первой половине 2022 года в области NFT произошло множество инцидентов, связанных с безопасностью, что привело к огромным потерям. По данным одной из платформ по безопасности блокчейна, в первой половине года произошло 10 основных инцидентов безопасности NFT, общие потери составили около 6490 долларов США. Основные методы атак включали использование уязвимостей контрактов, утечку приватных ключей и фишинг. Особенно широко распространены фишинг-атаки на платформе Discord, где почти ежедневно серверы подвергались атакам, что приводило к потерям активов пользователей.
Обзор типичных инцидентов безопасности
Событие TreasureDAO
3 марта платформа торговли TreasureDAO подверглась хакерской атаке, в результате которой было украдено более 100 NFT. Уязвимость возникла из-за логической ошибки в функции buyItem контракта TreasureMarketplaceBuyer, которая не проверяла тип токена перед вычислением цены, что привело к возможности покупки NFT по цене 0 токенов. Это подчеркивает проблему логической путаницы, вызванную смешиванием токенов ERC-1155 и ERC-721.
Событие аирдропа APE Coin
17 марта хакеры использовали флеш-кредиты для получения более 60 000 APE Coin через аирдроп. Уязвимость была обнаружена в контракте аирдропа AirdropGrapesToken, который определял право собственности на NFT только через balanceOf(), и этот метод можно было манипулировать с помощью флеш-кредитов.
Событие Revest Finance
27 марта Revest Finance подвергся атаке и понес убыток в 120 000 долларов. Причиной стала уязвимость повторного входа ERC-1155 в контракте Revest, неправильно обрабатывающая логику чеканки FNFT.
NBA事件 по извлечению выгоды
21 апреля проект NBA подвергся хакерской атаке. В контракте The_Association_Sales существуют проблемы с подделкой и повторным использованием подписей при верификации в белом списке, не было хранения и проверки уже использованных подписей.
Событие Akutar
23 апреля, у проекта Akutar произошла уязвимость контракта AkuAuction, которая привела к блокировке 11,5 тыс. ETH ( на сумму около 34 млн долларов ). Основными проблемами являются два логических уязвимости: функция возврата может быть прервана злоумышленником, а также не учитывается ситуация с многократными ставками пользователей.
Событие XCarnival
24 июня протокол кредитования XCarnival подвергся атаке, в результате чего был потерян около 3,8 миллиона долларов. В контракте XNFT функция pledgeAndBorrow не проводила эффективную проверку адреса xToken и состояния записи залога.
Часто задаваемые вопросы по аудиту NFT контрактов
Подделка и повторное использование подписей:
Логическая уязвимость:
Атака повторного входа ERC721/ERC1155:
Слишком широкий объем полномочий:
Манипуляция ценами:
Учитывая частые инциденты с безопасностью NFT-контрактов и большие потери, проектные команды должны уделять внимание аудиту безопасности контрактов, обращаться к профессиональным компаниям по безопасности для проведения комплексной проверки, чтобы снизить риски безопасности.