NFT Sözleşme Güvenliği: 2022 Yılı İlk Yarı Olaylarının Gözden Geçirilmesi ve Denetim Noktaları
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve büyük kayıplara yol açtı. Bir blockchain güvenlik platformunun izlemelerine göre, ilk yarıda toplam 10 adet önemli NFT güvenlik olayı gerçekleşti ve toplam kayıp yaklaşık 6490 milyon dolar oldu. Saldırı yöntemleri arasında sözleşme açıklarından yararlanma, özel anahtar sızıntısı ve oltalama gibi durumlar yer alıyor. Özellikle Discord platformunda oltalama saldırıları oldukça yaygınlaştı, neredeyse her gün sunucular saldırıya uğruyor ve kullanıcı varlıkları kaybediliyor.
Tipik Güvenlik Olayları İncelemesi
TreasureDAO olayı
3 Mart'ta, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Açık, TreasureMarketplaceBuyer sözleşmesindeki buyItem fonksiyonunun mantık hatasından kaynaklanıyordu; token türü kontrol edilmeden fiyat hesaplandı ve bu da 0 token fiyatıyla NFT satın alınmasına olanak tanıdı. Bu, ERC-1155 ve ERC-721 tokenlerinin karıştırılmasından kaynaklanan mantıksal karmaşa sorununu ortaya koyuyor.
APE Coin airdrop olayı
17 Mart'ta, bir hacker, lightning loan kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, AirdropGrapesToken airdrop sözleşmesinde bulunuyordu; bu sözleşme, NFT mülkiyetini sadece balanceOf() ile belirliyordu ve bu yöntem lightning loan ile manipüle edilebiliyordu.
Revest Finance olayı
27 Mart'ta, Revest Finance saldırıya uğrayarak 120,000 dolar kaybetti. Sebebi, Revest sözleşmesinde bulunan ERC-1155 yeniden giriş açığıydı ve FNFT basım mantığını doğru bir şekilde işleyemedi.
NBA koyun yünü olayı
21 Nisan'da, NBA projesi bir siber saldırıya uğradı. The_Association_Sales sözleşmesinde beyaz liste doğrulama sırasında imza sahteciliği ve yeniden kullanma sorunları vardı, kullanılan imzaların depolanması ve doğrulanması yapılmamıştı.
Akutar olayı
23 Nisan'da, Akutar projesinin AkuAuction akıllı sözleşmesindeki bir güvenlik açığı, 11,5 bin ETH ( yaklaşık 34 milyon dolar )'ı kilitledi. Temelde iki mantıksal güvenlik açığı var: iade fonksiyonu kötü niyetli olarak kesilebiliyor ve kullanıcıların birden fazla teklif verme durumu göz önünde bulundurulmamış.
XCarnival olayı
24 Haziran'da, XCarnival kredi protokolü saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybetti. XNFT sözleşmesindeki pledgeAndBorrow fonksiyonu, xToken adresi ve teminat kayıt durumu üzerinde etkili bir kontrol yapmadı.
NFT Sözleşme Denetimi Sıkça Sorulan Sorular
İmza yetkisiz kullanımı ve yeniden kullanımı:
Kullanıcı nonce'u gibi tekrar yürütme doğrulaması eksik
İmza kontrolü sıkı değil, sıfır adresi kontrol edilmemişse
Mantık Açığı:
Madeni para toplam miktarının sınırlı olmaması
Müzayede sürecinde işlem sırası bağımlılığı vardır
ERC721/ERC1155 yeniden giriş saldırısı:
Transfer bildirim işlevi reentrancy'ye neden olabilir
Yetki alanı çok geniş:
Aşırı yetki talep edilmesi, varlıkların çalınma riskini artırır.
Fiyat manipülasyonu:
NFT fiyatı manipüle edilebilen dış verilere bağlıdır
NFT sözleşmesi güvenlik olaylarının sıklıkla meydana geldiği ve büyük kayıplara neden olduğu göz önüne alındığında, proje sahipleri sözleşme güvenlik denetimlerine önem vermeli ve güvenlik risklerini azaltmak için profesyonel güvenlik şirketlerinden kapsamlı testler talep etmelidir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
18 Likes
Reward
18
7
Share
Comment
0/400
PessimisticOracle
· 07-08 18:02
Yani sadece 6000w dolara kaybettim.
View OriginalReply0
LayerZeroHero
· 07-07 22:54
Gerçekten denetimde bir sorun çıktı, zincir verileri asla yalan söylemez.
View OriginalReply0
BoredRiceBall
· 07-06 22:23
enayiler kaybettiğinde tıpkı bir tencere yağın patlaması gibi
View OriginalReply0
ThesisInvestor
· 07-06 15:15
Bu gerçekten saçmalık, birer birer bakalım.
View OriginalReply0
ClassicDumpster
· 07-06 15:14
Yine enayiler insanları enayi yerine koymak oldu.
View OriginalReply0
MidnightSeller
· 07-06 15:10
Emiciler Tarafından Oyuna Getirilmek没完了啊
View OriginalReply0
MEVHunterX
· 07-06 14:52
Eğlenmek eğlenmektir, yeter ki para kaybetmeyin. Proje Ekibi gerçekten kötü.
NFT sözleşim güvenlik açıkları sıkça meydana geliyor, 2022'nin ilk yarısında 6490 milyon dolar kayıp.
NFT Sözleşme Güvenliği: 2022 Yılı İlk Yarı Olaylarının Gözden Geçirilmesi ve Denetim Noktaları
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve büyük kayıplara yol açtı. Bir blockchain güvenlik platformunun izlemelerine göre, ilk yarıda toplam 10 adet önemli NFT güvenlik olayı gerçekleşti ve toplam kayıp yaklaşık 6490 milyon dolar oldu. Saldırı yöntemleri arasında sözleşme açıklarından yararlanma, özel anahtar sızıntısı ve oltalama gibi durumlar yer alıyor. Özellikle Discord platformunda oltalama saldırıları oldukça yaygınlaştı, neredeyse her gün sunucular saldırıya uğruyor ve kullanıcı varlıkları kaybediliyor.
Tipik Güvenlik Olayları İncelemesi
TreasureDAO olayı
3 Mart'ta, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Açık, TreasureMarketplaceBuyer sözleşmesindeki buyItem fonksiyonunun mantık hatasından kaynaklanıyordu; token türü kontrol edilmeden fiyat hesaplandı ve bu da 0 token fiyatıyla NFT satın alınmasına olanak tanıdı. Bu, ERC-1155 ve ERC-721 tokenlerinin karıştırılmasından kaynaklanan mantıksal karmaşa sorununu ortaya koyuyor.
APE Coin airdrop olayı
17 Mart'ta, bir hacker, lightning loan kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, AirdropGrapesToken airdrop sözleşmesinde bulunuyordu; bu sözleşme, NFT mülkiyetini sadece balanceOf() ile belirliyordu ve bu yöntem lightning loan ile manipüle edilebiliyordu.
Revest Finance olayı
27 Mart'ta, Revest Finance saldırıya uğrayarak 120,000 dolar kaybetti. Sebebi, Revest sözleşmesinde bulunan ERC-1155 yeniden giriş açığıydı ve FNFT basım mantığını doğru bir şekilde işleyemedi.
NBA koyun yünü olayı
21 Nisan'da, NBA projesi bir siber saldırıya uğradı. The_Association_Sales sözleşmesinde beyaz liste doğrulama sırasında imza sahteciliği ve yeniden kullanma sorunları vardı, kullanılan imzaların depolanması ve doğrulanması yapılmamıştı.
Akutar olayı
23 Nisan'da, Akutar projesinin AkuAuction akıllı sözleşmesindeki bir güvenlik açığı, 11,5 bin ETH ( yaklaşık 34 milyon dolar )'ı kilitledi. Temelde iki mantıksal güvenlik açığı var: iade fonksiyonu kötü niyetli olarak kesilebiliyor ve kullanıcıların birden fazla teklif verme durumu göz önünde bulundurulmamış.
XCarnival olayı
24 Haziran'da, XCarnival kredi protokolü saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybetti. XNFT sözleşmesindeki pledgeAndBorrow fonksiyonu, xToken adresi ve teminat kayıt durumu üzerinde etkili bir kontrol yapmadı.
NFT Sözleşme Denetimi Sıkça Sorulan Sorular
İmza yetkisiz kullanımı ve yeniden kullanımı:
Mantık Açığı:
ERC721/ERC1155 yeniden giriş saldırısı:
Yetki alanı çok geniş:
Fiyat manipülasyonu:
NFT sözleşmesi güvenlik olaylarının sıklıkla meydana geldiği ve büyük kayıplara neden olduğu göz önüne alındığında, proje sahipleri sözleşme güvenlik denetimlerine önem vermeli ve güvenlik risklerini azaltmak için profesyonel güvenlik şirketlerinden kapsamlı testler talep etmelidir.