Загальні питання та типові випадки аналізу безпеки аудиту NFT-контрактів
Нещодавно в сфері NFT відбулося багато інцидентів безпеки, що призвели до величезних економічних втрат. Згідно з даними моніторингу безпеки блокчейну, в першій половині 2022 року сталося 10 значних інцидентів безпеки NFT, які завдали збитків приблизно на 6490 мільйонів доларів США. Основні способи атак на ці інциденти включали експлуатацію вразливостей контрактів, витік приватних ключів та фішинг.
Аналіз типових інцидентів безпеки
Подія ### TreasureDAO
3 березня 2022 року платформа обміну TreasureDAO зазнала атаки, внаслідок якої було вкрадено понад 100 NFT. Уразливість виникла через логічну помилку в контракті TreasureMarketplaceBuyer, яка не забезпечила правильне розрізнення між токенами ERC-1155 та ERC-721, що дозволило зловмисникам купувати NFT без оплати.
APE Coin аерозольна подія
17 березня 2022 року зловмисники використали миттєвий кредит, щоб отримати понад 60 000 монет APE в рамках аірдропу. Проблема полягала в контракті AirdropGrapesToken, де кваліфікація для аірдропу визначалася лише на основі миттєвого стану, що було використано зловмисниками для маніпуляцій за допомогою миттєвого кредиту.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнав атаки, внаслідок якої було втрачено близько 120 тисяч доларів. Уразливість пов'язана з атакою повторного входу ERC-1155, що виникла через неправильну обробку порядку зміни стану в контракті під час випуску нових FNFT.
NBA випадок з отриманням вигоди
21 квітня 2022 року проект NBA зазнав атаки. Проблема полягала в механізмі перевірки підписів контракту The_Association_Sales, в якому існували ризики підробки та повторного використання підписів.
Подія Akutar
23 квітня 2022 року в контракті AkuAuction проєкту Akutar виявлено логічну вразливість, що призвело до блокування 11539 ETH (приблизно 34 мільйони доларів США). Основні проблеми включають дефекти в проєктуванні функції повернення коштів та недооблік ситуації з багаторазовими ставками користувачів.
Подія XCarnival
24 червня 2022 року NFT-кредитний протокол XCarnival був атакований, внаслідок чого було втрачено близько 3,8 мільйона доларів. У функції pledgeAndBorrow контракту XNFT існує логічна вразливість, яка неправильно перевіряє дійсність заставленого NFT.
Поширені питання щодо аудиту NFT контрактів
Підробка та повторне використання підписів:
Відсутня перевірка повторного використання підписів
Логіка перевірки підпису не є суворою
Логічна уразливість:
Неправильний контроль за емісією монет
Порядок угод під час аукціону залежить від атак
Реін'єкція атаки ERC721/ERC1155:
Функція сповіщення про переказ може призвести до повторного входу
Занадто широкий обсяг повноважень:
Непотрібні глобальні дозволи збільшують ризик безпеки
Маніпуляція цінами:
Ціна NFT залежить від зовнішніх факторів, які можуть бути легко маніпульовані.
Ці проблеми часто використовуються хакерами під час реальних атак. Тому професійний аудит безпеки NFT-проектів є вкрай важливим, оскільки він може ефективно запобігти потенційним загрозам безпеці та захистити активи користувачів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
4
Репост
Поділіться
Прокоментувати
0/400
GasWaster
· 2год тому
втратив більше eth на невдалих tx, ніж вартості мого портфеля смх... ще один день, ще один смарт-контракт rekt
Переглянути оригіналвідповісти на0
zkProofInThePudding
· 9год тому
Знову вразливість для безкоштовного отримання NFT
Переглянути оригіналвідповісти на0
AlwaysAnon
· 9год тому
Крадіжка перетворилася на безкоштовну розвагу.
Переглянути оригіналвідповісти на0
CoconutWaterBoy
· 9год тому
Скільки ще грошей з NFT потрібно вкрасти? Яка жахлива ситуація.
Аудит безпеки NFT-контрактів: 6 поширених питань та аналіз типових випадків
Загальні питання та типові випадки аналізу безпеки аудиту NFT-контрактів
Нещодавно в сфері NFT відбулося багато інцидентів безпеки, що призвели до величезних економічних втрат. Згідно з даними моніторингу безпеки блокчейну, в першій половині 2022 року сталося 10 значних інцидентів безпеки NFT, які завдали збитків приблизно на 6490 мільйонів доларів США. Основні способи атак на ці інциденти включали експлуатацію вразливостей контрактів, витік приватних ключів та фішинг.
Аналіз типових інцидентів безпеки
Подія ### TreasureDAO
3 березня 2022 року платформа обміну TreasureDAO зазнала атаки, внаслідок якої було вкрадено понад 100 NFT. Уразливість виникла через логічну помилку в контракті TreasureMarketplaceBuyer, яка не забезпечила правильне розрізнення між токенами ERC-1155 та ERC-721, що дозволило зловмисникам купувати NFT без оплати.
APE Coin аерозольна подія
17 березня 2022 року зловмисники використали миттєвий кредит, щоб отримати понад 60 000 монет APE в рамках аірдропу. Проблема полягала в контракті AirdropGrapesToken, де кваліфікація для аірдропу визначалася лише на основі миттєвого стану, що було використано зловмисниками для маніпуляцій за допомогою миттєвого кредиту.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнав атаки, внаслідок якої було втрачено близько 120 тисяч доларів. Уразливість пов'язана з атакою повторного входу ERC-1155, що виникла через неправильну обробку порядку зміни стану в контракті під час випуску нових FNFT.
NBA випадок з отриманням вигоди
21 квітня 2022 року проект NBA зазнав атаки. Проблема полягала в механізмі перевірки підписів контракту The_Association_Sales, в якому існували ризики підробки та повторного використання підписів.
Подія Akutar
23 квітня 2022 року в контракті AkuAuction проєкту Akutar виявлено логічну вразливість, що призвело до блокування 11539 ETH (приблизно 34 мільйони доларів США). Основні проблеми включають дефекти в проєктуванні функції повернення коштів та недооблік ситуації з багаторазовими ставками користувачів.
Подія XCarnival
24 червня 2022 року NFT-кредитний протокол XCarnival був атакований, внаслідок чого було втрачено близько 3,8 мільйона доларів. У функції pledgeAndBorrow контракту XNFT існує логічна вразливість, яка неправильно перевіряє дійсність заставленого NFT.
Поширені питання щодо аудиту NFT контрактів
Підробка та повторне використання підписів:
Логічна уразливість:
Реін'єкція атаки ERC721/ERC1155:
Занадто широкий обсяг повноважень:
Маніпуляція цінами:
Ці проблеми часто використовуються хакерами під час реальних атак. Тому професійний аудит безпеки NFT-проектів є вкрай важливим, оскільки він може ефективно запобігти потенційним загрозам безпеці та захистити активи користувачів.