في النصف الأول من عام 2022، حدثت العديد من الحوادث الأمنية الكبيرة في مجال NFT، مما تسبب في خسائر اقتصادية كبيرة. وفقًا لمنصة البيانات، تم رصد 10 حوادث أمنية رئيسية فقط، بلغت خسائرها حوالي 64900000 دولار. كانت طرق الهجوم الرئيسية تشمل استغلال ثغرات العقود، تسريبات المفاتيح الخاصة، والهجمات التصيدية. في الوقت نفسه، كانت هجمات التصيد على منصة Discord شائعة جدًا، حيث فقد المستخدمون تقريبًا يوميًا بسبب نقرهم على روابط ضارة.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO للتداول لهجوم هاكر، وتم سرقة أكثر من 100 NFT. وكان السبب هو وجود ثغرة منطقية في العقد، واستخدام رموز ERC-1155 و ERC-721 معًا مما أدى إلى خطأ في الحساب، مما سمح للمهاجم بشراء NFT بتكلفة صفر.
حدث توزيع العملات APE Coin
في 17 مارس 2022، استغل القراصنة القرض السريع للحصول على أكثر من 60,000 عملة APE Coin من الإطلاق المجاني. كانت الثغرة في عقد الإطلاق الحر الذي يتحقق فقط من الملكية الفورية للـ NFT من قبل المتصل، مما يمكن التلاعب به من خلال القرض السريع.
فعالية Revest Finance
في 27 مارس 2022، تعرضت Revest Finance لهجوم مما أدى إلى خسارة قدرها 120,000 دولار. السبب هو وجود ثغرة إعادة دخول في العقد ERC-1155، حيث يمكن للمهاجم استدعاء الدوال المرتبطة بشكل متكرر أثناء عملية السك.
حادثة هجوم مشروع NBA
في 21 أبريل 2022، تعرض مشروع NBA لهجوم من قِبل قراصنة. كانت هناك مشاكل في تزوير وإعادة استخدام التوقيعات أثناء التحقق من قائمة السماح، ولم يتم تسجيل والتحقق من التوقيعات المستخدمة.
حدث أكوتار
في 23 أبريل 2022، تم قفل أصول بقيمة 34 مليون دولار أمريكي بسبب ثغرة في منطق العقد في مشروع Akutar. تم تصميم وظيفة الاسترداد بشكل غير صحيح، ولم يؤخذ في الاعتبار حالة تقديم العطاءات المتعددة من قبل المستخدمين.
حدث XCarnival
في 24 يونيو 2022، تعرضت XCarnival لهجوم أدى إلى خسارة حوالي 3.8 مليون دولار. كان السبب في ذلك هو نقص الفحوصات الأمنية اللازمة خلال عملية الرهن والإقراض.
مشاكل التدقيق الشائعة لعقود NFT
انتحال التوقيع وإعادة استخدامه: نقص في التحقق من التنفيذ المتكرر، وفحص التوقيع غير معقول.
ثغرات منطقية: صلاحيات الإدارة كبيرة جدًا، وهناك ثغرات في عملية المزاد.
هجوم إعادة الدخول ERC721/ERC1155: قد تؤدي وظيفة إشعار التحويل إلى إعادة الدخول.
نطاق التفويض كبير جداً: قد يؤدي تفويض المستخدم المفرط إلى سرقة NFT.
التلاعب بالأسعار: تعتمد أسعار NFT على عوامل خارجية، مما يجعلها سهلة التلاعب.
استنتاج
تتكرر حوادث أمان عقود NFT بشكل متكرر، والسبب الرئيسي هو نقص التدقيق الأمني الشامل. يجب على فريق المشروع أن يولي أهمية لأمان العقود، وأن يسعى للحصول على خدمات شركات الأمان المهنية لإجراء التدقيق، من أجل تجنب المخاطر المحتملة وحماية أصول المستخدمين.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 16
أعجبني
16
5
مشاركة
تعليق
0/400
blocksnark
· 08-02 03:33
هناك الكثير من الثغرات، لقد أعجبتني حقًا هذه العملية الغبية.
شاهد النسخة الأصليةرد0
HashBrownies
· 07-31 08:59
لقد خسرت بشكل كارثي، على الرغم من أن لديك دروسًا، إلا أنك مصمم على تكرار الأخطاء.
شاهد النسخة الأصليةرد0
SerLiquidated
· 07-31 04:17
صراحة ، من يجرؤ الآن على لمس nft
شاهد النسخة الأصليةرد0
LiquidationWatcher
· 07-31 04:17
*ذكريات اضطراب ما بعد الصدمة إلى treasuredao* يا إلهي ليس كارثة عقد ذكي أخرى تنتظر الحدوث... ابق بأمان يا مجهول، تحقق من تلك التدقيقات مرتين أو ستتعرض للخسارة حقًا حقًا.
شاهد النسخة الأصليةرد0
BearMarketSage
· 07-31 04:17
مرة أخرى حمقى تم خداعهم لتحقيق الربح، إنه مضحك حقًا
تكرار المخاطر الأمنية لعقود NFT، والتدقيق يصبح خط الدفاع الرئيسي
تحليل مشكلات أمان عقود NFT واقتراحات التدقيق
في النصف الأول من عام 2022، حدثت العديد من الحوادث الأمنية الكبيرة في مجال NFT، مما تسبب في خسائر اقتصادية كبيرة. وفقًا لمنصة البيانات، تم رصد 10 حوادث أمنية رئيسية فقط، بلغت خسائرها حوالي 64900000 دولار. كانت طرق الهجوم الرئيسية تشمل استغلال ثغرات العقود، تسريبات المفاتيح الخاصة، والهجمات التصيدية. في الوقت نفسه، كانت هجمات التصيد على منصة Discord شائعة جدًا، حيث فقد المستخدمون تقريبًا يوميًا بسبب نقرهم على روابط ضارة.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO للتداول لهجوم هاكر، وتم سرقة أكثر من 100 NFT. وكان السبب هو وجود ثغرة منطقية في العقد، واستخدام رموز ERC-1155 و ERC-721 معًا مما أدى إلى خطأ في الحساب، مما سمح للمهاجم بشراء NFT بتكلفة صفر.
حدث توزيع العملات APE Coin
في 17 مارس 2022، استغل القراصنة القرض السريع للحصول على أكثر من 60,000 عملة APE Coin من الإطلاق المجاني. كانت الثغرة في عقد الإطلاق الحر الذي يتحقق فقط من الملكية الفورية للـ NFT من قبل المتصل، مما يمكن التلاعب به من خلال القرض السريع.
فعالية Revest Finance
في 27 مارس 2022، تعرضت Revest Finance لهجوم مما أدى إلى خسارة قدرها 120,000 دولار. السبب هو وجود ثغرة إعادة دخول في العقد ERC-1155، حيث يمكن للمهاجم استدعاء الدوال المرتبطة بشكل متكرر أثناء عملية السك.
حادثة هجوم مشروع NBA
في 21 أبريل 2022، تعرض مشروع NBA لهجوم من قِبل قراصنة. كانت هناك مشاكل في تزوير وإعادة استخدام التوقيعات أثناء التحقق من قائمة السماح، ولم يتم تسجيل والتحقق من التوقيعات المستخدمة.
حدث أكوتار
في 23 أبريل 2022، تم قفل أصول بقيمة 34 مليون دولار أمريكي بسبب ثغرة في منطق العقد في مشروع Akutar. تم تصميم وظيفة الاسترداد بشكل غير صحيح، ولم يؤخذ في الاعتبار حالة تقديم العطاءات المتعددة من قبل المستخدمين.
حدث XCarnival
في 24 يونيو 2022، تعرضت XCarnival لهجوم أدى إلى خسارة حوالي 3.8 مليون دولار. كان السبب في ذلك هو نقص الفحوصات الأمنية اللازمة خلال عملية الرهن والإقراض.
مشاكل التدقيق الشائعة لعقود NFT
انتحال التوقيع وإعادة استخدامه: نقص في التحقق من التنفيذ المتكرر، وفحص التوقيع غير معقول.
ثغرات منطقية: صلاحيات الإدارة كبيرة جدًا، وهناك ثغرات في عملية المزاد.
هجوم إعادة الدخول ERC721/ERC1155: قد تؤدي وظيفة إشعار التحويل إلى إعادة الدخول.
نطاق التفويض كبير جداً: قد يؤدي تفويض المستخدم المفرط إلى سرقة NFT.
التلاعب بالأسعار: تعتمد أسعار NFT على عوامل خارجية، مما يجعلها سهلة التلاعب.
استنتاج
تتكرر حوادث أمان عقود NFT بشكل متكرر، والسبب الرئيسي هو نقص التدقيق الأمني الشامل. يجب على فريق المشروع أن يولي أهمية لأمان العقود، وأن يسعى للحصول على خدمات شركات الأمان المهنية لإجراء التدقيق، من أجل تجنب المخاطر المحتملة وحماية أصول المستخدمين.