Анализ проблем безопасности NFT-контрактов и рекомендации по аудиту
В первой половине 2022 года в области NFT произошло несколько крупных инцидентов безопасности, которые привели к значительным экономическим потерям. Согласно данным платформы мониторинга, было зафиксировано 10 основных инцидентов безопасности, в результате которых потери составили около 64,9 миллиона долларов. Основные методы атак включали эксплуатацию уязвимостей контрактов, утечку приватных ключей и фишинг. В то же время фишинговые атаки на платформе Discord также были весьма распространены, практически каждый день пользователи теряли деньги из-за нажатия на вредоносные ссылки.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта 2022 года торговая платформа TreasureDAO подверглась хакерской атаке, в результате которой было украдено более 100 NFT. Причиной стала логическая уязвимость контракта, смешение токенов ERC-1155 и ERC-721 привело к ошибкам в расчетах, что позволило злоумышленникам приобретать NFT без затрат.
событие раздачи APE Coin
17 марта 2022 года хакеры использовали флеш-кредиты для получения более 60 000 APE Coin через аирдроп. Уязвимость заключалась в том, что контракт аирдропа проверял лишь мгновенное владение NFT со стороны вызывающего, что можно было манипулировать с помощью флеш-кредита.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся атаке, в результате которой было потеряно 120 000 долларов США. Причиной стали уязвимости повторного входа ERC-1155 в контракте, что позволило атакующим многократно вызывать соответствующие функции в процессе создания.
Нападение на проект NBA
21 апреля 2022 года проект NBA подвергся хакерской атаке. В контракте при проверке белого списка возникли проблемы с подделкой и повторным использованием подписей, не было записи и проверки использованных подписей.
Событие Akutar
23 апреля 2022 года проект Akutar столкнулся с блокировкой активов на сумму 34 миллиона долларов из-за логической уязвимости контракта. Функция возврата была неправильно спроектирована и не учитывала ситуацию с множественными ставками от пользователей.
XCarnival событие
24 июня 2022 года XCarnival подвергся атаке, в результате которой он потерял около 3,8 миллиона долларов США. Причиной этого стало отсутствие необходимых проверок безопасности в процессе залога и кредитования.
Часто встречающиеся проблемы аудита NFT-контрактов
Подделка и повторное использование подписей: отсутствие проверки на повторное выполнение, необоснованная проверка подписей.
Логическая уязвимость: слишком большие права администратора, в процессе аукциона существуют уязвимости.
Атака повторного входа ERC721/ERC1155: функция уведомления о переводе может привести к повторному входу.
Слишком широкий объем полномочий: пользователи могут чрезмерно предоставить полномочия, что приведет к краже NFT.
Манипуляция ценами: Цены на NFT зависят от внешних факторов и подвержены манипуляциям.
Вывод
Частые события безопасности контрактов NFT в основном связаны с отсутствием комплексного аудита безопасности. Проектные команды должны уделять внимание безопасности контрактов и обращаться к профессиональным компаниям для проведения аудита, чтобы предотвратить потенциальные риски и защитить безопасность активов пользователей.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
5
Поделиться
комментарий
0/400
blocksnark
· 08-02 03:33
Слишком много уязвимостей, я действительно поражён этой идиотской операцией.
Посмотреть ОригиналОтветить0
HashBrownies
· 07-31 08:59
Плохо стало, да? Явно есть урок, но всё равно продолжаешь наступать на те же грабли.
Посмотреть ОригиналОтветить0
SerLiquidated
· 07-31 04:17
Скажем прямо, сейчас кто еще осмелится трогать NFT?
Посмотреть ОригиналОтветить0
LiquidationWatcher
· 07-31 04:17
*посттравматические флешбеки к treasuredao* о боже, не очередная катастрофа со смарт-контрактом, которая ждет своего часа... береги себя аноним, дважды проверь эти аудиты или потеряй все по-настоящему
Посмотреть ОригиналОтветить0
BearMarketSage
· 07-31 04:17
Снова неудачники разыгрываются как лохи, смешно же.
Частые угрозы безопасности NFT-контрактов: аудит становится ключевой защитой.
Анализ проблем безопасности NFT-контрактов и рекомендации по аудиту
В первой половине 2022 года в области NFT произошло несколько крупных инцидентов безопасности, которые привели к значительным экономическим потерям. Согласно данным платформы мониторинга, было зафиксировано 10 основных инцидентов безопасности, в результате которых потери составили около 64,9 миллиона долларов. Основные методы атак включали эксплуатацию уязвимостей контрактов, утечку приватных ключей и фишинг. В то же время фишинговые атаки на платформе Discord также были весьма распространены, практически каждый день пользователи теряли деньги из-за нажатия на вредоносные ссылки.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта 2022 года торговая платформа TreasureDAO подверглась хакерской атаке, в результате которой было украдено более 100 NFT. Причиной стала логическая уязвимость контракта, смешение токенов ERC-1155 и ERC-721 привело к ошибкам в расчетах, что позволило злоумышленникам приобретать NFT без затрат.
событие раздачи APE Coin
17 марта 2022 года хакеры использовали флеш-кредиты для получения более 60 000 APE Coin через аирдроп. Уязвимость заключалась в том, что контракт аирдропа проверял лишь мгновенное владение NFT со стороны вызывающего, что можно было манипулировать с помощью флеш-кредита.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся атаке, в результате которой было потеряно 120 000 долларов США. Причиной стали уязвимости повторного входа ERC-1155 в контракте, что позволило атакующим многократно вызывать соответствующие функции в процессе создания.
Нападение на проект NBA
21 апреля 2022 года проект NBA подвергся хакерской атаке. В контракте при проверке белого списка возникли проблемы с подделкой и повторным использованием подписей, не было записи и проверки использованных подписей.
Событие Akutar
23 апреля 2022 года проект Akutar столкнулся с блокировкой активов на сумму 34 миллиона долларов из-за логической уязвимости контракта. Функция возврата была неправильно спроектирована и не учитывала ситуацию с множественными ставками от пользователей.
XCarnival событие
24 июня 2022 года XCarnival подвергся атаке, в результате которой он потерял около 3,8 миллиона долларов США. Причиной этого стало отсутствие необходимых проверок безопасности в процессе залога и кредитования.
Часто встречающиеся проблемы аудита NFT-контрактов
Подделка и повторное использование подписей: отсутствие проверки на повторное выполнение, необоснованная проверка подписей.
Логическая уязвимость: слишком большие права администратора, в процессе аукциона существуют уязвимости.
Атака повторного входа ERC721/ERC1155: функция уведомления о переводе может привести к повторному входу.
Слишком широкий объем полномочий: пользователи могут чрезмерно предоставить полномочия, что приведет к краже NFT.
Манипуляция ценами: Цены на NFT зависят от внешних факторов и подвержены манипуляциям.
Вывод
Частые события безопасности контрактов NFT в основном связаны с отсутствием комплексного аудита безопасности. Проектные команды должны уделять внимание безопасности контрактов и обращаться к профессиональным компаниям для проведения аудита, чтобы предотвратить потенциальные риски и защитить безопасность активов пользователей.