Аналіз вразливостей безпеки контрактів NFT та типові випадки
У першій половині 2022 року в сфері NFT відбулося багато інцидентів безпеки, що призвели до значних економічних втрат. За статистикою, основних інцидентів безпеки було 10, загальні втрати склали приблизно 6490 мільйонів доларів США. Основні методи атак включали використання вразливостей контрактів, витік приватних ключів та фішинг тощо. Варто зазначити, що фішингові атаки на платформі Discord відбуваються практично щодня, що завдає значних втрат особистим користувачам.
Аналіз типових інцидентів безпеки
Подія ### TreasureDAO
3 березня 2022 року платформа обміну TreasureDAO зазнала атаки, внаслідок якої було вкрадено понад 100 NFT. Основною причиною інциденту стало логічне плутанина, викликане змішаним використанням токенів ERC-1155 та ERC-721. Контракт при обробці ціни покупки токенів не розрізняв особливості цих двох типів токенів, помилково вважаючи токени ERC-721 такими, що мають кількісний компонент.
Подія аеродропу APE Coin
17 березня 2022 року хакери отримали понад 60 тисяч монет APE Coin через флеш-кредит. Уразливість існувала в контракті на аеродроп, оскільки контракт визначав право на участь в аеродропі лише через перевірку поточного балансу NFT користувача, що робило цей спосіб легким для маніпуляцій через флеш-кредити.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнав атаки, в результаті якої було втрачено близько 120 тисяч доларів. Це типовий випадок атаки повторного входу ERC-1155. Під час процесу карбування FNFT, контракт не зміг правильно обробити автоматичне збільшення ID токена та перевірку його існування, що призвело до вразливості повторного входу.
NBA грабіж вівці
21 квітня 2022 року проект NBA зазнав атаки. Проблема полягала в механізмі підпису перевірки білого списку, існували дві основні проблеми: підробка та повторне використання підпису. Контракт не зберігав вже використані підписи і під час перевірки не перевіряв відправника повідомлення, що дозволяло зловмисникам повторно використовувати або підробляти підписи.
Подія Akutar
23 квітня 2022 року проект Akutar через вразливість у смарт-контракті призвів до блокування активів на суму приблизно 34 мільйони доларів. Основна проблема полягала в неналежному проектуванні логіки функції повернення коштів, яка не могла обробити кілька заявок та була піддана ризику зловмисного переривання.
Подія XCarnival
24 червня 2022 року XCarnival зазнав атаки, внаслідок якої було втрачено приблизно 3,8 мільйона доларів. Уразливість полягала в тому, що контракт не проводив сувору перевірку адреси заставлених NFT та статусу записів застави, що дозволяло зловмисникам повторно використовувати недійсні записи застави для отримання кредитів.
Поширені проблеми безпеки контрактів NFT
Підробка та повторне використання підписів: відсутність перевірки повторного використання підписів, логіка перевірки підписів не є суворою.
Логічна вразливість: спеціальний спосіб карбування облігацій обминає обмеження загальної кількості, порядок торгівлі під час аукціону залежить від атаки.
ERC721/ERC1155 повторне втручання: у функції сповіщення про переказ може виникнути ризик повторного втручання.
Надмірна авторизація: вимога до користувачів надавати необґрунтовану повну авторизацію, що підвищує ризик крадіжки NFT.
Маніпуляція цінами: ціни на NFT залежать від показників, які легко піддаються маніпуляціям, що може призвести до аномальних ліквідацій.
Враховуючи складність NFT контрактів та потенційні ризики, проектна команда повинна приділити увагу безпеці аудиту смарт-контрактів, залучивши професійну команду безпеки для всебічної перевірки, щоб запобігти можливим атакам та втратам.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
8 лайків
Нагородити
8
8
Поділіться
Прокоментувати
0/400
ser_ngmi
· 07-18 10:08
Ще одні кліпові купони discord= =
Переглянути оригіналвідповісти на0
DefiPlaybook
· 07-16 19:28
Дані вражаючі, за пів року втрати 6490w доларів США
Переглянути оригіналвідповісти на0
MemeTokenGenius
· 07-15 14:56
В наш час важко заробити чисті гроші.
Переглянути оригіналвідповісти на0
OptionWhisperer
· 07-15 14:50
Від великої неправди тільки тому, що код написано погано, було втрачено майже мільярд.
Переглянути оригіналвідповісти на0
GasFeeCryer
· 07-15 14:50
Ще один смартконтракт втратив кілька мільярдів. Тс-тс.
Переглянути оригіналвідповісти на0
GasFeeCry
· 07-15 14:47
Знову прийшла хвиля обману для дурнів.
Переглянути оригіналвідповісти на0
VibesOverCharts
· 07-15 14:45
Грабіжник заробляє гроші, гравці страждають~
Переглянути оригіналвідповісти на0
DaoDeveloper
· 07-15 14:35
щойно перевірив витік treasuredao... смн ці вразливості змішування erc стають нездатними до контролю насправді
Безпека контрактів NFT часто має вразливості. У першій половині 2022 року втрати склали майже 6500 мільйонів доларів.
Аналіз вразливостей безпеки контрактів NFT та типові випадки
У першій половині 2022 року в сфері NFT відбулося багато інцидентів безпеки, що призвели до значних економічних втрат. За статистикою, основних інцидентів безпеки було 10, загальні втрати склали приблизно 6490 мільйонів доларів США. Основні методи атак включали використання вразливостей контрактів, витік приватних ключів та фішинг тощо. Варто зазначити, що фішингові атаки на платформі Discord відбуваються практично щодня, що завдає значних втрат особистим користувачам.
Аналіз типових інцидентів безпеки
Подія ### TreasureDAO
3 березня 2022 року платформа обміну TreasureDAO зазнала атаки, внаслідок якої було вкрадено понад 100 NFT. Основною причиною інциденту стало логічне плутанина, викликане змішаним використанням токенів ERC-1155 та ERC-721. Контракт при обробці ціни покупки токенів не розрізняв особливості цих двох типів токенів, помилково вважаючи токени ERC-721 такими, що мають кількісний компонент.
Подія аеродропу APE Coin
17 березня 2022 року хакери отримали понад 60 тисяч монет APE Coin через флеш-кредит. Уразливість існувала в контракті на аеродроп, оскільки контракт визначав право на участь в аеродропі лише через перевірку поточного балансу NFT користувача, що робило цей спосіб легким для маніпуляцій через флеш-кредити.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнав атаки, в результаті якої було втрачено близько 120 тисяч доларів. Це типовий випадок атаки повторного входу ERC-1155. Під час процесу карбування FNFT, контракт не зміг правильно обробити автоматичне збільшення ID токена та перевірку його існування, що призвело до вразливості повторного входу.
NBA грабіж вівці
21 квітня 2022 року проект NBA зазнав атаки. Проблема полягала в механізмі підпису перевірки білого списку, існували дві основні проблеми: підробка та повторне використання підпису. Контракт не зберігав вже використані підписи і під час перевірки не перевіряв відправника повідомлення, що дозволяло зловмисникам повторно використовувати або підробляти підписи.
Подія Akutar
23 квітня 2022 року проект Akutar через вразливість у смарт-контракті призвів до блокування активів на суму приблизно 34 мільйони доларів. Основна проблема полягала в неналежному проектуванні логіки функції повернення коштів, яка не могла обробити кілька заявок та була піддана ризику зловмисного переривання.
Подія XCarnival
24 червня 2022 року XCarnival зазнав атаки, внаслідок якої було втрачено приблизно 3,8 мільйона доларів. Уразливість полягала в тому, що контракт не проводив сувору перевірку адреси заставлених NFT та статусу записів застави, що дозволяло зловмисникам повторно використовувати недійсні записи застави для отримання кредитів.
Поширені проблеми безпеки контрактів NFT
Підробка та повторне використання підписів: відсутність перевірки повторного використання підписів, логіка перевірки підписів не є суворою.
Логічна вразливість: спеціальний спосіб карбування облігацій обминає обмеження загальної кількості, порядок торгівлі під час аукціону залежить від атаки.
ERC721/ERC1155 повторне втручання: у функції сповіщення про переказ може виникнути ризик повторного втручання.
Надмірна авторизація: вимога до користувачів надавати необґрунтовану повну авторизацію, що підвищує ризик крадіжки NFT.
Маніпуляція цінами: ціни на NFT залежать від показників, які легко піддаються маніпуляціям, що може призвести до аномальних ліквідацій.
Враховуючи складність NFT контрактів та потенційні ризики, проектна команда повинна приділити увагу безпеці аудиту смарт-контрактів, залучивши професійну команду безпеки для всебічної перевірки, щоб запобігти можливим атакам та втратам.