Разбор распространенных проблем и типичных кейсов в аудите безопасности NFT-контрактов
В последнее время в области NFT часто происходят инциденты безопасности, которые приводят к огромным экономическим потерям. Согласно данным мониторинга безопасности блокчейна, в первой половине 2022 года произошло 10 крупных инцидентов безопасности NFT, которые привели к потерям примерно в 64,9 миллиона долларов. Основные способы атак на эти инциденты включали использование уязвимостей контрактов, утечку приватных ключей и фишинг.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта 2022 года торговая платформа TreasureDAO была атакована, в результате чего более 100 NFT были украдены. Уязвимость возникла из-за логической ошибки в контракте TreasureMarketplaceBuyer, который не различал токены ERC-1155 и ERC-721, что позволило злоумышленникам приобретать NFT без оплаты.
APE Coin аирдроп событие
17 марта 2022 года злоумышленники использовали флеш-займы для получения более 60 000 APE Coin в результатеairdrops. Проблема заключалась в контракте AirdropGrapesToken, где квалификация для участия в аирдропе определялась только на основе мгновенного состояния, что позволяло злоумышленникам манипулировать им с помощью флеш-займов.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся атаке, в результате чего был потерян около 120 000 долларов США. Уязвимость связана с повторной атакой ERC-1155, вызванной некорректной обработкой последовательности изменения состояния в контракте при создании новых FNFT.
NBA хайп-акция
21 апреля 2022 года проект NBA подвергся атаке. Проблема заключалась в механизме проверки подписи контракта The_Association_Sales, который имел риск подделки и повторного использования подписей.
Событие Akutar
23 апреля 2022 года в контракте AkuAuction проекта Akutar была выявлена логическая уязвимость, из-за которой 11539 ETH (примерно 34 миллиона долларов США) оказались заблокированы. Основные проблемы включают в себя дефекты проектирования функции возврата средств и отсутствие учета ситуации с многократными ставками пользователей.
Событие XCarnival
24 июня 2022 года протокол кредитования NFT XCarnival был атакован, что привело к убыткам примерно в 3,8 миллиона долларов. В функции pledgeAndBorrow контракта XNFT существовала логическая уязвимость, которая некорректно проверяла действительность заложенного NFT.
Часто задаваемые вопросы по аудиту NFT-контрактов
Подделка и повторное использование подписи:
Отсутствует проверка на повторное использование подписи
Логика проверки подписи нестрогая
Логические уязвимости:
Неправильное управление объемом эмиссии
Порядок сделок в процессе аукциона зависит от атак
Реентрантная атака на ERC721/ERC1155:
Функция уведомления о переводе может привести к повторному входу
Слишком широкий диапазон полномочий:
Необязательные глобальные разрешения увеличивают риски безопасности
Манипуляция ценами:
Цена NFT зависит от легко манипулируемых внешних факторов
Эти проблемы часто используются хакерами в реальных атаках. Поэтому профессиональный аудит безопасности NFT-проектов имеет решающее значение, так как он может эффективно предотвратить потенциальные угрозы безопасности и защитить активы пользователей.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
4
Репост
Поделиться
комментарий
0/400
GasWaster
· 2ч назад
потерял больше эфира из-за неудачных транзакций, чем стоит мой портфель, смех сквозь слезы... еще один день, еще один смарт-контракт разрушен
Посмотреть ОригиналОтветить0
zkProofInThePudding
· 9ч назад
Еще одна уязвимость для бесплатного получения NFT
Посмотреть ОригиналОтветить0
AlwaysAnon
· 9ч назад
Ворую-ворую, и вдруг бесплатно получаю.
Посмотреть ОригиналОтветить0
CoconutWaterBoy
· 9ч назад
Сколько еще денег будет украдено у NFT? Это ужасно.
Безопасный аудит контрактов NFT: 6 распространенных вопросов и анализ типичных случаев
Разбор распространенных проблем и типичных кейсов в аудите безопасности NFT-контрактов
В последнее время в области NFT часто происходят инциденты безопасности, которые приводят к огромным экономическим потерям. Согласно данным мониторинга безопасности блокчейна, в первой половине 2022 года произошло 10 крупных инцидентов безопасности NFT, которые привели к потерям примерно в 64,9 миллиона долларов. Основные способы атак на эти инциденты включали использование уязвимостей контрактов, утечку приватных ключей и фишинг.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта 2022 года торговая платформа TreasureDAO была атакована, в результате чего более 100 NFT были украдены. Уязвимость возникла из-за логической ошибки в контракте TreasureMarketplaceBuyer, который не различал токены ERC-1155 и ERC-721, что позволило злоумышленникам приобретать NFT без оплаты.
APE Coin аирдроп событие
17 марта 2022 года злоумышленники использовали флеш-займы для получения более 60 000 APE Coin в результатеairdrops. Проблема заключалась в контракте AirdropGrapesToken, где квалификация для участия в аирдропе определялась только на основе мгновенного состояния, что позволяло злоумышленникам манипулировать им с помощью флеш-займов.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся атаке, в результате чего был потерян около 120 000 долларов США. Уязвимость связана с повторной атакой ERC-1155, вызванной некорректной обработкой последовательности изменения состояния в контракте при создании новых FNFT.
NBA хайп-акция
21 апреля 2022 года проект NBA подвергся атаке. Проблема заключалась в механизме проверки подписи контракта The_Association_Sales, который имел риск подделки и повторного использования подписей.
Событие Akutar
23 апреля 2022 года в контракте AkuAuction проекта Akutar была выявлена логическая уязвимость, из-за которой 11539 ETH (примерно 34 миллиона долларов США) оказались заблокированы. Основные проблемы включают в себя дефекты проектирования функции возврата средств и отсутствие учета ситуации с многократными ставками пользователей.
Событие XCarnival
24 июня 2022 года протокол кредитования NFT XCarnival был атакован, что привело к убыткам примерно в 3,8 миллиона долларов. В функции pledgeAndBorrow контракта XNFT существовала логическая уязвимость, которая некорректно проверяла действительность заложенного NFT.
Часто задаваемые вопросы по аудиту NFT-контрактов
Подделка и повторное использование подписи:
Логические уязвимости:
Реентрантная атака на ERC721/ERC1155:
Слишком широкий диапазон полномочий:
Манипуляция ценами:
Эти проблемы часто используются хакерами в реальных атаках. Поэтому профессиональный аудит безопасности NFT-проектов имеет решающее значение, так как он может эффективно предотвратить потенциальные угрозы безопасности и защитить активы пользователей.