الأسئلة الشائعة في تدقيق أمان عقود NFT وتحليل الحالات النموذجية
في الآونة الأخيرة، تكررت حوادث الأمان في مجال NFT، مما تسبب في خسائر اقتصادية كبيرة. ووفقًا لبيانات مراقبة أمان blockchain، حدثت 10 حوادث أمان NFT كبيرة في النصف الأول من عام 2022، مما تسبب في خسائر تقدر بحوالي 64.9 مليون دولار. تشمل أساليب الهجوم الرئيسية في هذه الحوادث استغلال ثغرات العقود، وكشف المفاتيح الخاصة، والتصيد.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة تداول TreasureDAO للهجوم، مما أدى إلى سرقة أكثر من 100 NFT. كان مصدر الثغرة هو خطأ منطقي في عقد TreasureMarketplaceBuyer، حيث لم يتم التمييز بشكل صحيح بين رموز ERC-1155 و ERC-721، مما سمح للمهاجمين بشراء NFT دون دفع.
حدث توزيع APE Coin
في 17 مارس 2022، استخدم المهاجمون قرضًا فوريًا للحصول على أكثر من 60000 توكن من APE Coin في عملية توزيع مجانية. كانت المشكلة في عقد AirdropGrapesToken، حيث تم تحديد أهلية التوزيع المجاني فقط بناءً على الحالة الفورية، مما تم استغلاله من قبل المهاجمين للتلاعب بالقرض الفوري.
فعالية Revest Finance
في 27 مارس 2022، تعرضت Revest Finance لهجوم، مما أسفر عن خسارة حوالي 120,000 دولار. كانت الثغرة تتعلق بهجوم إعادة إدخال ERC-1155، ناتج عن عدم معالجة العقد لترتيب تغييرات الحالة بشكل صحيح عند سك FNFT جديدة.
حدث NBA لاقتناص الفرص
في 21 أبريل 2022، تعرض مشروع NBA لهجوم. كانت المشكلة في آلية التحقق من التوقيع لعقد The_Association_Sales، حيث كان هناك خطر استخدام التوقيع بشكل غير قانوني وإعادة استخدامه.
حدث أكوتار
في 23 أبريل 2022، أدى ثغرة منطقية في عقد AkuAuction لمشروع Akutar إلى قفل 11539 ETH (حوالي 34 مليون دولار). تشمل المشكلات الرئيسية عيوب تصميم وظيفة الاسترداد وعدم مراعاة حالات المزايدة المتعددة من قبل المستخدمين.
حدث XCarnival
في 24 يونيو 2022، تعرضت بروتوكول إقراض NFT XCarnival للاختراق، مما أدى إلى خسارة تقدر بحوالي 3.8 مليون دولار. كان هناك ثغرة منطقية في وظيفة pledgeAndBorrow في عقد XNFT، حيث لم يتم التحقق بشكل صحيح من صحة NFT المرهونة.
الأسئلة الشائعة حول تدقيق عقود NFT
انتحال الهوية وإعادة الاستخدام:
نقص التحقق من إعادة استخدام التوقيع
منطق التحقق من التوقيع غير دقيق
ثغرة منطقية:
التحكم غير المناسب في كمية العملات المصدرة
ترتيب المعاملات خلال عملية المزاد يعتمد على الهجوم
هجوم إعادة الدخول على ERC721/ERC1155:
قد تؤدي ميزة إشعار التحويل إلى إعادة الدخول
نطاق التفويض واسع جدًا:
التصريحات العالمية غير الضرورية تزيد من مخاطر الأمان
التحكم في الأسعار:
تعتمد أسعار NFT على عوامل خارجية سهلة التلاعب بها
تُستخدم هذه المشكلات غالبًا من قبل القراصنة في الهجمات الفعلية. لذلك، من الضروري إجراء تدقيق أمني احترافي لمشاريع NFT، حيث يمكن أن يمنع بشكل فعال المخاطر الأمنية المحتملة ويحمي أصول المستخدمين.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 11
أعجبني
11
4
إعادة النشر
مشاركة
تعليق
0/400
GasWaster
· منذ 2 س
خسرت المزيد من الإيثير في المعاملات الفاشلة أكثر من قيمة محفظتي، حسناً... يوم آخر وعقد ذكي آخر تم تدميره
تدقيق أمان عقود NFT: 6 أسئلة شائعة وتحليل حالات نموذجية
الأسئلة الشائعة في تدقيق أمان عقود NFT وتحليل الحالات النموذجية
في الآونة الأخيرة، تكررت حوادث الأمان في مجال NFT، مما تسبب في خسائر اقتصادية كبيرة. ووفقًا لبيانات مراقبة أمان blockchain، حدثت 10 حوادث أمان NFT كبيرة في النصف الأول من عام 2022، مما تسبب في خسائر تقدر بحوالي 64.9 مليون دولار. تشمل أساليب الهجوم الرئيسية في هذه الحوادث استغلال ثغرات العقود، وكشف المفاتيح الخاصة، والتصيد.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة تداول TreasureDAO للهجوم، مما أدى إلى سرقة أكثر من 100 NFT. كان مصدر الثغرة هو خطأ منطقي في عقد TreasureMarketplaceBuyer، حيث لم يتم التمييز بشكل صحيح بين رموز ERC-1155 و ERC-721، مما سمح للمهاجمين بشراء NFT دون دفع.
حدث توزيع APE Coin
في 17 مارس 2022، استخدم المهاجمون قرضًا فوريًا للحصول على أكثر من 60000 توكن من APE Coin في عملية توزيع مجانية. كانت المشكلة في عقد AirdropGrapesToken، حيث تم تحديد أهلية التوزيع المجاني فقط بناءً على الحالة الفورية، مما تم استغلاله من قبل المهاجمين للتلاعب بالقرض الفوري.
فعالية Revest Finance
في 27 مارس 2022، تعرضت Revest Finance لهجوم، مما أسفر عن خسارة حوالي 120,000 دولار. كانت الثغرة تتعلق بهجوم إعادة إدخال ERC-1155، ناتج عن عدم معالجة العقد لترتيب تغييرات الحالة بشكل صحيح عند سك FNFT جديدة.
حدث NBA لاقتناص الفرص
في 21 أبريل 2022، تعرض مشروع NBA لهجوم. كانت المشكلة في آلية التحقق من التوقيع لعقد The_Association_Sales، حيث كان هناك خطر استخدام التوقيع بشكل غير قانوني وإعادة استخدامه.
حدث أكوتار
في 23 أبريل 2022، أدى ثغرة منطقية في عقد AkuAuction لمشروع Akutar إلى قفل 11539 ETH (حوالي 34 مليون دولار). تشمل المشكلات الرئيسية عيوب تصميم وظيفة الاسترداد وعدم مراعاة حالات المزايدة المتعددة من قبل المستخدمين.
حدث XCarnival
في 24 يونيو 2022، تعرضت بروتوكول إقراض NFT XCarnival للاختراق، مما أدى إلى خسارة تقدر بحوالي 3.8 مليون دولار. كان هناك ثغرة منطقية في وظيفة pledgeAndBorrow في عقد XNFT، حيث لم يتم التحقق بشكل صحيح من صحة NFT المرهونة.
الأسئلة الشائعة حول تدقيق عقود NFT
انتحال الهوية وإعادة الاستخدام:
ثغرة منطقية:
هجوم إعادة الدخول على ERC721/ERC1155:
نطاق التفويض واسع جدًا:
التحكم في الأسعار:
تُستخدم هذه المشكلات غالبًا من قبل القراصنة في الهجمات الفعلية. لذلك، من الضروري إجراء تدقيق أمني احترافي لمشاريع NFT، حيث يمكن أن يمنع بشكل فعال المخاطر الأمنية المحتملة ويحمي أصول المستخدمين.