في النصف الأول من عام 2022، وقعت عدة حوادث أمان كبيرة في مجال NFT، مما أدى إلى خسائر تقدر بحوالي 64.9 مليون دولار. تتعلق هذه الحوادث بشكل رئيسي باستغلال ثغرات العقود، تسرب المفاتيح الخاصة، وهجمات التصيد. ومن الجدير بالذكر أن حوادث التصيد على منصة Discord تحدث تقريبًا يوميًا، مما أدى إلى تعرض عدد كبير من المستخدمين الأفراد للخسائر.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس، تعرضت منصة TreasureDAO للاختراق، وتم سرقة أكثر من 100 NFT. كان مصدر الثغرة هو خطأ منطقي في عقد TreasureMarketplaceBuyer، مما سمح للمهاجمين بشراء NFT دون دفع. كانت هذه المشكلة ناتجة بشكل أساسي عن الارتباك المنطقي الناجم عن الخلط بين رموز ERC-1155 و ERC-721.
حدث توزيع عملة APE
في 17 مارس، استغل المهاجمون قرضًا سريعًا للحصول على أكثر من 60,000 من رموز APE Coin الموزعة. كانت الثغرة موجودة في عقد التوزيع، حيث تحقق العقد فقط من الملكية الفورية للمستخدم لـ NFT، مما يمكن التلاعب به من خلال القرض السريع.
فعالية Revest Finance
في 27 مارس، تعرضت Revest Finance للاختراق، وخسرت حوالي 120,000 دولار. كانت هذه هجمة إعادة دخول نموذجية من نوع ERC-1155، ناتجة عن عيب منطقي في العقد أثناء سك FNFT جديدة.
مشروع NBA هجوم
في 21 أبريل، تعرض مشروع NBA للهجوم. كانت المشكلة في آلية التحقق من التوقيع في قائمة الانتظار، حيث كانت هناك ثغرات في انتحال التوقيع وإعادة استخدامه.
أكوتار 事件
في 23 أبريل، أدى خلل في عقد مشروع Akutar الذكي إلى تجميد أصول بقيمة حوالي 34 مليون دولار. وذلك بسبب وجود خلل منطقي في دالة رد الأموال في العقد، حيث لم يتم أخذ في الاعتبار إمكانية قيام المستخدمين بالمزايدة على عدة NFT.
حدث XCarnival
في 24 يونيو، تعرضت XCarnival لهجوم، مما أدى إلى خسارة حوالي 3.8 مليون دولار. كانت الثغرة في عدم وجود الفحوصات الأمنية اللازمة في وظائف الرهن والاقتراض في عقد XNFT.
أسئلة شائعة حول تدقيق عقود NFT
انتحال التوقيع وإعادة استخدامه:
نقص التحقق من التنفيذ المتكرر
فحص التوقيع غير معقول
ثغرة منطقية:
التحكم في إجمالي كمية العملات غير صحيح
تعتمد ترتيب المعاملات خلال عملية المزاد على الهجمات
هجمات إعادة الدخول على ERC721 و ERC1155:
قد تتسبب ميزة إشعار التحويل في إعادة الدخول
نطاق التفويض كبير جدًا:
قد تؤدي الأذونات العالمية غير الضرورية إلى سرقة NFT
التحكم في الأسعار:
سعر NFT يعتمد على عوامل خارجية ، مما يجعله عرضة للتلاعب
تُبرز هذه المشاكل الأمنية أهمية إجراء تدقيق شامل ومهني لعقود NFT. يجب على فريق المشروع أن يولي اهتمامًا لأمان العقود، من خلال تدقيق أمني محترف لتجنب المخاطر المحتملة وحماية أصول المستخدمين.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تكرار حوادث أمان عقود NFT ست نقاط تدقيق لتجنب المخاطر
تحليل مشكلات أمان عقود NFT ونقاط التدقيق
في النصف الأول من عام 2022، وقعت عدة حوادث أمان كبيرة في مجال NFT، مما أدى إلى خسائر تقدر بحوالي 64.9 مليون دولار. تتعلق هذه الحوادث بشكل رئيسي باستغلال ثغرات العقود، تسرب المفاتيح الخاصة، وهجمات التصيد. ومن الجدير بالذكر أن حوادث التصيد على منصة Discord تحدث تقريبًا يوميًا، مما أدى إلى تعرض عدد كبير من المستخدمين الأفراد للخسائر.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس، تعرضت منصة TreasureDAO للاختراق، وتم سرقة أكثر من 100 NFT. كان مصدر الثغرة هو خطأ منطقي في عقد TreasureMarketplaceBuyer، مما سمح للمهاجمين بشراء NFT دون دفع. كانت هذه المشكلة ناتجة بشكل أساسي عن الارتباك المنطقي الناجم عن الخلط بين رموز ERC-1155 و ERC-721.
حدث توزيع عملة APE
في 17 مارس، استغل المهاجمون قرضًا سريعًا للحصول على أكثر من 60,000 من رموز APE Coin الموزعة. كانت الثغرة موجودة في عقد التوزيع، حيث تحقق العقد فقط من الملكية الفورية للمستخدم لـ NFT، مما يمكن التلاعب به من خلال القرض السريع.
فعالية Revest Finance
في 27 مارس، تعرضت Revest Finance للاختراق، وخسرت حوالي 120,000 دولار. كانت هذه هجمة إعادة دخول نموذجية من نوع ERC-1155، ناتجة عن عيب منطقي في العقد أثناء سك FNFT جديدة.
مشروع NBA هجوم
في 21 أبريل، تعرض مشروع NBA للهجوم. كانت المشكلة في آلية التحقق من التوقيع في قائمة الانتظار، حيث كانت هناك ثغرات في انتحال التوقيع وإعادة استخدامه.
أكوتار 事件
في 23 أبريل، أدى خلل في عقد مشروع Akutar الذكي إلى تجميد أصول بقيمة حوالي 34 مليون دولار. وذلك بسبب وجود خلل منطقي في دالة رد الأموال في العقد، حيث لم يتم أخذ في الاعتبار إمكانية قيام المستخدمين بالمزايدة على عدة NFT.
حدث XCarnival
في 24 يونيو، تعرضت XCarnival لهجوم، مما أدى إلى خسارة حوالي 3.8 مليون دولار. كانت الثغرة في عدم وجود الفحوصات الأمنية اللازمة في وظائف الرهن والاقتراض في عقد XNFT.
أسئلة شائعة حول تدقيق عقود NFT
انتحال التوقيع وإعادة استخدامه:
ثغرة منطقية:
هجمات إعادة الدخول على ERC721 و ERC1155:
نطاق التفويض كبير جدًا:
التحكم في الأسعار:
تُبرز هذه المشاكل الأمنية أهمية إجراء تدقيق شامل ومهني لعقود NFT. يجب على فريق المشروع أن يولي اهتمامًا لأمان العقود، من خلال تدقيق أمني محترف لتجنب المخاطر المحتملة وحماية أصول المستخدمين.