NFT Sözleşme Güvenlik Açığı Analizi ve Tipik Örnekler
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve önemli ekonomik kayıplara yol açtı. Yapılan istatistiklere göre, ana güvenlik olayları toplamda 10 kez gerçekleşti ve toplam kayıp yaklaşık 64.90 milyon dolar oldu. Saldırı yöntemleri esas olarak sözleşme açıklarının kullanımı, özel anahtar sızıntısı ve oltalama gibi yollarla gerçekleşti. Dikkate değer bir diğer nokta ise, Discord platformunda oltalama saldırılarının neredeyse her gün gerçekleşmesi ve bireysel kullanıcılara önemli kayıplar yaşatmasıdır.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu saldırıya uğradı ve 100'den fazla NFT çalındı. Olayın temel nedeni, ERC-1155 ve ERC-721 tokenlarının karıştırılmasının yol açtığı mantıksal karmaşadır. Sözleşme, token satın alma fiyatını işlerken, bu iki token türünün özelliklerini ayırt edemedi ve yanlış bir şekilde ERC-721 tokenını miktar kavramı olan bir token olarak değerlendirdi.
APE Coin airdrop olayı
17 Mart 2022'de, bir hacker flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, airdrop sözleşmesinde bulunuyordu; sözleşme, kullanıcıların mevcut NFT bakiyelerini kontrol ederek airdrop'a uygunluklarını belirliyordu ve bu yöntem flash kredi ile manipüle edilebiliyordu.
Revest Finance olayı
27 Mart 2022'de, Revest Finance saldırıya uğradı ve yaklaşık 120.000 dolar kaybetti. Bu, tipik bir ERC-1155 yeniden giriş saldırısıdır. FNFT basım sürecinde, sözleşme token ID'sinin otomatik artışını ve varlık kontrolünü doğru bir şekilde işleyemediği için yeniden giriş açığına yol açtı.
NBA koyun yünü olayı
21 Nisan 2022'de, NBA projesi saldırıya uğradı. Sorun, beyaz liste doğrulama imza mekanizmasındaydı ve iki ana sorun vardı: imza kötüye kullanımı ve tekrar kullanımı. Sözleşme, kullanılan imzaları saklamıyordu ve doğrulama sırasında mesaj göndereni kontrol etmiyordu, bu da saldırganların imzaları tekrar kullanabilmesine veya kötüye kullanabilmesine olanak tanıyordu.
Akutar olayı
23 Nisan 2022'de, Akutar projesi akıllı sözleşme açığı nedeniyle yaklaşık 34 milyon dolar değerinde varlık kilitlendi. Ana sorun, geri ödeme fonksiyonunun mantıksal tasarımındaki eksikliklerdi; birden fazla teklif durumunu işleyemiyor ve kötü niyetli kesintilere karşı savunmasızdı.
XCarnival olayı
24 Haziran 2022'de, XCarnival saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybetti. Açık, sözleşmenin stake edilen NFT adresleri ve teminat kayıt durumunu sıkı bir şekilde kontrol etmemesi nedeniyle, saldırganların geçersiz teminat kayıtlarını tekrar tekrar kullanarak borç almasına olanak tanıdı.
NFT Sözleşmesi Yaygın Güvenlik Sorunları
İmza kötüye kullanımı ve yeniden kullanımı: İmza tekrar kullanımı kontrolü eksik, imza doğrulama mantığı sağlam değil.
Mantık Açığı: Özel madeni para basım yöntemi toplam miktar kısıtlamasını aşmakta, açık artırma sürecindeki işlem sırası saldırıya bağımlıdır.
ERC721/ERC1155 yeniden giriş saldırısı: Transfer bildirim işlevinde yeniden giriş riski ortaya çıkabilir.
Aşırı Yetkilendirme: Kullanıcılardan gereksiz bir şekilde tam yetki talep etmek, NFT'nin çalınma riskini artırır.
Fiyat Manipülasyonu: NFT fiyatları kolayca manipüle edilebilen göstergelere bağlıdır, bu da olağanüstü tasfiyelere yol açabilir.
NFT sözleşmelerinin karmaşıklığı ve potansiyel riskleri göz önüne alındığında, proje sahipleri akıllı sözleşmelerin güvenlik denetim çalışmalarına önem vermeli, olası saldırıları ve kayıpları önlemek için profesyonel bir güvenlik ekibiyle kapsamlı bir kontrol yaptırmalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 Likes
Reward
8
8
Share
Comment
0/400
ser_ngmi
· 07-18 10:08
Yine discord Klip Kuponlar = =
View OriginalReply0
DefiPlaybook
· 07-16 19:28
Veri göz alıcı, altı ayda 6490w Amerikan doları kaybı
View OriginalReply0
MemeTokenGenius
· 07-15 14:56
Bu çağda temiz para kazanmak gerçekten zor.
View OriginalReply0
OptionWhisperer
· 07-15 14:50
Büyük bir hata, sadece kod kötü yazıldığı için neredeyse bir milyar kaybedildi.
View OriginalReply0
GasFeeCryer
· 07-15 14:50
Bir başka akıllı sözleşme birkaç milyar çalındı. Tüh tüh.
View OriginalReply0
GasFeeCry
· 07-15 14:47
Yine bir emiciler tarafından oyuna getirilmek modası geldi.
View OriginalReply0
VibesOverCharts
· 07-15 14:45
Hırsız para kazanıyor, oyuncular zarar görüyor~
View OriginalReply0
DaoDeveloper
· 07-15 14:35
just audited the treasuredao exploit... smh bu erc karıştırma güvenlik açıkları gerçekten kontrolden çıkıyor fr
NFT akitleri güvenlik açıkları sıkça meydana geliyor, 2022'nin ilk yarısında yaklaşık 65 milyon dolar kaybedildi.
NFT Sözleşme Güvenlik Açığı Analizi ve Tipik Örnekler
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve önemli ekonomik kayıplara yol açtı. Yapılan istatistiklere göre, ana güvenlik olayları toplamda 10 kez gerçekleşti ve toplam kayıp yaklaşık 64.90 milyon dolar oldu. Saldırı yöntemleri esas olarak sözleşme açıklarının kullanımı, özel anahtar sızıntısı ve oltalama gibi yollarla gerçekleşti. Dikkate değer bir diğer nokta ise, Discord platformunda oltalama saldırılarının neredeyse her gün gerçekleşmesi ve bireysel kullanıcılara önemli kayıplar yaşatmasıdır.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu saldırıya uğradı ve 100'den fazla NFT çalındı. Olayın temel nedeni, ERC-1155 ve ERC-721 tokenlarının karıştırılmasının yol açtığı mantıksal karmaşadır. Sözleşme, token satın alma fiyatını işlerken, bu iki token türünün özelliklerini ayırt edemedi ve yanlış bir şekilde ERC-721 tokenını miktar kavramı olan bir token olarak değerlendirdi.
APE Coin airdrop olayı
17 Mart 2022'de, bir hacker flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, airdrop sözleşmesinde bulunuyordu; sözleşme, kullanıcıların mevcut NFT bakiyelerini kontrol ederek airdrop'a uygunluklarını belirliyordu ve bu yöntem flash kredi ile manipüle edilebiliyordu.
Revest Finance olayı
27 Mart 2022'de, Revest Finance saldırıya uğradı ve yaklaşık 120.000 dolar kaybetti. Bu, tipik bir ERC-1155 yeniden giriş saldırısıdır. FNFT basım sürecinde, sözleşme token ID'sinin otomatik artışını ve varlık kontrolünü doğru bir şekilde işleyemediği için yeniden giriş açığına yol açtı.
NBA koyun yünü olayı
21 Nisan 2022'de, NBA projesi saldırıya uğradı. Sorun, beyaz liste doğrulama imza mekanizmasındaydı ve iki ana sorun vardı: imza kötüye kullanımı ve tekrar kullanımı. Sözleşme, kullanılan imzaları saklamıyordu ve doğrulama sırasında mesaj göndereni kontrol etmiyordu, bu da saldırganların imzaları tekrar kullanabilmesine veya kötüye kullanabilmesine olanak tanıyordu.
Akutar olayı
23 Nisan 2022'de, Akutar projesi akıllı sözleşme açığı nedeniyle yaklaşık 34 milyon dolar değerinde varlık kilitlendi. Ana sorun, geri ödeme fonksiyonunun mantıksal tasarımındaki eksikliklerdi; birden fazla teklif durumunu işleyemiyor ve kötü niyetli kesintilere karşı savunmasızdı.
XCarnival olayı
24 Haziran 2022'de, XCarnival saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybetti. Açık, sözleşmenin stake edilen NFT adresleri ve teminat kayıt durumunu sıkı bir şekilde kontrol etmemesi nedeniyle, saldırganların geçersiz teminat kayıtlarını tekrar tekrar kullanarak borç almasına olanak tanıdı.
NFT Sözleşmesi Yaygın Güvenlik Sorunları
İmza kötüye kullanımı ve yeniden kullanımı: İmza tekrar kullanımı kontrolü eksik, imza doğrulama mantığı sağlam değil.
Mantık Açığı: Özel madeni para basım yöntemi toplam miktar kısıtlamasını aşmakta, açık artırma sürecindeki işlem sırası saldırıya bağımlıdır.
ERC721/ERC1155 yeniden giriş saldırısı: Transfer bildirim işlevinde yeniden giriş riski ortaya çıkabilir.
Aşırı Yetkilendirme: Kullanıcılardan gereksiz bir şekilde tam yetki talep etmek, NFT'nin çalınma riskini artırır.
Fiyat Manipülasyonu: NFT fiyatları kolayca manipüle edilebilen göstergelere bağlıdır, bu da olağanüstü tasfiyelere yol açabilir.
NFT sözleşmelerinin karmaşıklığı ve potansiyel riskleri göz önüne alındığında, proje sahipleri akıllı sözleşmelerin güvenlik denetim çalışmalarına önem vermeli, olası saldırıları ve kayıpları önlemek için profesyonel bir güvenlik ekibiyle kapsamlı bir kontrol yaptırmalıdır.