Анализ уязвимостей безопасности NFT-контрактов и типичные случаи
В первой половине 2022 года в области NFT произошло множество инцидентов безопасности, что привело к значительным экономическим потерям. По статистике, произошло 10 основных инцидентов, общие потери составили около 64,9 миллиона долларов. Основные методы атак включали эксплуатацию уязвимостей контрактов, утечку приватных ключей и фишинг. Примечательно, что фишинг-атаки на платформе Discord происходят почти каждый день, нанося значительные убытки отдельным пользователям.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта 2022 года платформа обмена TreasureDAO была атакована, в результате чего было украдено более 100 NFT. Коренной причиной инцидента стал логический сбой, вызванный смешиванием токенов ERC-1155 и ERC-721. Контракт при обработке цен покупки токенов не различал характеристики этих двух типов токенов и ошибочно рассматривал токены ERC-721 как токены с понятием количества.
Событие раздачи токенов APE Coin
17 марта 2022 года хакеры с помощью флеш-кредита получили более 60 тысяч APE Coin через аирдроп. Уязвимость была в контракте аирдропа, который определял право на участие в аирдропе только по проверке текущего баланса пользователя по NFT, что легко можно было манипулировать с помощью флеш-кредита.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся атаке, потеряв около 120 000 долларов США. Это типичная атака повторного входа ERC-1155. В процессе создания FNFT контракт не смог правильно обработать автоинкремент токен-ID и проверку его существования, что привело к уязвимости повторного входа.
NBA хайп-мероприятие
21 апреля 2022 года проект NBA подвергся атаке. Проблема заключалась в механизме подписи валидации белого списка, где существовали две основные проблемы: подделка и повторное использование подписи. Контракт не хранил использованные подписи и не проверял отправителя сообщения при валидации, что позволяло злоумышленникам повторно использовать или подделывать подписи.
Событие Akutar
23 апреля 2022 года проект Akutar из-за уязвимости в смарт-контракте привел к блокировке активов на сумму около 34 миллионов долларов. Основная проблема заключалась в неправильном логическом дизайне функции возврата, которая не могла обрабатывать множественные ставки и была подвержена злонамеренному прерыванию.
Событие XCarnival
24 июня 2022 года XCarnival подвергся атаке, в результате которой было потеряно около 3,8 миллиона долларов. Уязвимость заключалась в том, что контракт не проводил строгую проверку адресов заложенных NFT и состояния записи о залоге, что позволяло злоумышленникам многократно использовать недействительные записи о залоге для заимствования.
Распространенные проблемы безопасности контрактов NFT
Подделка и повторное использование подписей: отсутствие проверки повторного использования подписей, нестрогая логика проверки подписей.
Логические уязвимости: специальный способ чеканки монет обходит ограничение по общему количеству, порядок сделок в процессе аукциона зависит от атаки.
Атака повторного входа ERC721/ERC1155: может вызвать риск повторного входа в функции уведомления о переводе.
Чрезмерные полномочия: требование от пользователей ненужного полного доступа, что увеличивает риск кражи NFT.
Манипуляции с ценой: Цены на NFT зависят от легко манипулируемых показателей, что может привести к аномальным ликвидациям.
Учитывая сложность и потенциальные риски NFT контрактов, проектные команды должны уделять внимание безопасности аудита смарт-контрактов, нанимая профессиональные команды безопасности для проведения всесторонней проверки, чтобы предотвратить возможные атаки и потери.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
8 Лайков
Награда
8
8
Поделиться
комментарий
0/400
ser_ngmi
· 07-18 10:08
又是discordКлиповые купоны= =
Посмотреть ОригиналОтветить0
DefiPlaybook
· 07-16 19:28
Данные шокируют, за полгода убыток составил 6490w долларов США
Посмотреть ОригиналОтветить0
MemeTokenGenius
· 07-15 14:56
В наше время заработать честные деньги действительно нелегко.
Посмотреть ОригиналОтветить0
OptionWhisperer
· 07-15 14:50
Это просто немыслимо! Из-за плохо написанного кода потеряли почти миллиард.
Посмотреть ОригиналОтветить0
GasFeeCryer
· 07-15 14:50
Еще один смарт-контракт был выведен на несколько миллиардов. Тс-тс.
Посмотреть ОригиналОтветить0
GasFeeCry
· 07-15 14:47
Опять пришла волна, чтобы разыгрывать людей как лохов.
Посмотреть ОригиналОтветить0
VibesOverCharts
· 07-15 14:45
Воры зарабатывают деньги, игроки страдают~
Посмотреть ОригиналОтветить0
DaoDeveloper
· 07-15 14:35
только что проверил взлом treasuredao... вздыхая, эти уязвимости смешивания erc выходят из-под контроля, серьезно
Безопасность NFT-контрактов часто подвержена уязвимостям, в первой половине 2022 года потери составили почти 65 миллионов долларов.
Анализ уязвимостей безопасности NFT-контрактов и типичные случаи
В первой половине 2022 года в области NFT произошло множество инцидентов безопасности, что привело к значительным экономическим потерям. По статистике, произошло 10 основных инцидентов, общие потери составили около 64,9 миллиона долларов. Основные методы атак включали эксплуатацию уязвимостей контрактов, утечку приватных ключей и фишинг. Примечательно, что фишинг-атаки на платформе Discord происходят почти каждый день, нанося значительные убытки отдельным пользователям.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта 2022 года платформа обмена TreasureDAO была атакована, в результате чего было украдено более 100 NFT. Коренной причиной инцидента стал логический сбой, вызванный смешиванием токенов ERC-1155 и ERC-721. Контракт при обработке цен покупки токенов не различал характеристики этих двух типов токенов и ошибочно рассматривал токены ERC-721 как токены с понятием количества.
Событие раздачи токенов APE Coin
17 марта 2022 года хакеры с помощью флеш-кредита получили более 60 тысяч APE Coin через аирдроп. Уязвимость была в контракте аирдропа, который определял право на участие в аирдропе только по проверке текущего баланса пользователя по NFT, что легко можно было манипулировать с помощью флеш-кредита.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся атаке, потеряв около 120 000 долларов США. Это типичная атака повторного входа ERC-1155. В процессе создания FNFT контракт не смог правильно обработать автоинкремент токен-ID и проверку его существования, что привело к уязвимости повторного входа.
NBA хайп-мероприятие
21 апреля 2022 года проект NBA подвергся атаке. Проблема заключалась в механизме подписи валидации белого списка, где существовали две основные проблемы: подделка и повторное использование подписи. Контракт не хранил использованные подписи и не проверял отправителя сообщения при валидации, что позволяло злоумышленникам повторно использовать или подделывать подписи.
Событие Akutar
23 апреля 2022 года проект Akutar из-за уязвимости в смарт-контракте привел к блокировке активов на сумму около 34 миллионов долларов. Основная проблема заключалась в неправильном логическом дизайне функции возврата, которая не могла обрабатывать множественные ставки и была подвержена злонамеренному прерыванию.
Событие XCarnival
24 июня 2022 года XCarnival подвергся атаке, в результате которой было потеряно около 3,8 миллиона долларов. Уязвимость заключалась в том, что контракт не проводил строгую проверку адресов заложенных NFT и состояния записи о залоге, что позволяло злоумышленникам многократно использовать недействительные записи о залоге для заимствования.
Распространенные проблемы безопасности контрактов NFT
Подделка и повторное использование подписей: отсутствие проверки повторного использования подписей, нестрогая логика проверки подписей.
Логические уязвимости: специальный способ чеканки монет обходит ограничение по общему количеству, порядок сделок в процессе аукциона зависит от атаки.
Атака повторного входа ERC721/ERC1155: может вызвать риск повторного входа в функции уведомления о переводе.
Чрезмерные полномочия: требование от пользователей ненужного полного доступа, что увеличивает риск кражи NFT.
Манипуляции с ценой: Цены на NFT зависят от легко манипулируемых показателей, что может привести к аномальным ликвидациям.
Учитывая сложность и потенциальные риски NFT контрактов, проектные команды должны уделять внимание безопасности аудита смарт-контрактов, нанимая профессиональные команды безопасности для проведения всесторонней проверки, чтобы предотвратить возможные атаки и потери.