Анализ проблем безопасности NFT контрактов и ключевые моменты аудита
В первой половине 2022 года в области NFT произошло несколько крупных инцидентов безопасности, в результате которых было потеряно около 64,9 миллиона долларов. Эти инциденты в основном связаны с использованием уязвимостей контрактов, утечкой приватных ключей и фишинг-атаками. Стоит отметить, что фишинг-инциденты на платформе Discord происходят практически каждый день, что приводит к значительным потерям для множества пользователей.
Анализ типичных инцидентов безопасности
TreasureDAO событие
3 марта платформа обмена TreasureDAO подверглась атаке, в результате которой было украдено более 100 NFT. Уязвимость возникла из-за логической ошибки в контракте TreasureMarketplaceBuyer, позволяющей злоумышленникам покупать NFT без оплаты. Эта проблема в основном вызвана логическим путаницей из-за смешивания токенов ERC-1155 и ERC-721.
Событие аирдропа APE Coin
17 марта злоумышленники использовали флэш-займы, чтобы получить более 60 000 APE Coin в рамкахairdrop. Уязвимость существовала в контракте на airdrop, который проверял лишь мгновенное владение NFT пользователем, что можно было манипулировать с помощью флэш-займа.
Revest Finance событие
27 марта Revest Finance подвергся атаке, в результате чего было потеряно около 120 000 долларов. Это典型ная атака повторного входа ERC-1155, возникшая из логического дефекта контракта при чеканке новых FNFT.
NBA проект атаки
21 апреля проект NBA подвергся атаке. Проблема заключалась в механизме проверки подписи в белом списке, в котором существовали уязвимости, связанные с подделкой и повторным использованием подписей.
Akutar событие
23 апреля у проекта Akutar возникла уязвимость в смарт-контракте, в результате которой около 34 миллионов долларов активов были заблокированы. Это произошло из-за логического дефекта в функции возврата контракта, которая не учитывала возможность того, что пользователи могли ставить на несколько NFT.
XCarnival событие
24 июня XCarnival подвергся атаке, в результате чего был потерян около 3,8 миллиона долларов. Уязвимость заключалась в том, что функции стейкинга и кредитования в контракте XNFT не имели необходимых проверок безопасности.
Часто задаваемые вопросы по аудиту контрактов NFT
Подделка и повторное использование подписей:
Недостаток проверки повторного выполнения
Проверка подписи неразумна
Логическая уязвимость:
Неправильный контроль общего объема выпуска монет
Порядок сделок в процессе аукциона зависит от атак
ERC721 & ERC1155 атака повторного входа:
Функция уведомления о переводе может привести к повторному входу
Слишком широкий объем полномочий:
Ненужные глобальные разрешения могут привести к краже NFT
Манипуляция ценами:
Цена NFT зависит от внешних факторов и подвержена манипуляциям.
Наличие этих проблем с безопасностью подчеркивает важность全面专业审计 NFT 合约. Проекты должны уделять внимание безопасности контрактов, используя专业ные аудиты безопасности для снижения потенциальных рисков и защиты активов пользователей.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
3
Поделиться
комментарий
0/400
FloorPriceWatcher
· 08-01 15:54
Тьфу-тьфу, как долго еще придется наступать на эту же яму?
Посмотреть ОригиналОтветить0
gas_fee_therapy
· 08-01 15:36
Снова обманули? Уязвимость контракта действительно дьявольская.
Посмотреть ОригиналОтветить0
AlgoAlchemist
· 08-01 15:34
Ца! Еще один DAO, который был раскрыт, но это не имеет значения.
Частые инциденты безопасности с NFT-контрактами: шесть ключевых моментов аудита для предотвращения рисков
Анализ проблем безопасности NFT контрактов и ключевые моменты аудита
В первой половине 2022 года в области NFT произошло несколько крупных инцидентов безопасности, в результате которых было потеряно около 64,9 миллиона долларов. Эти инциденты в основном связаны с использованием уязвимостей контрактов, утечкой приватных ключей и фишинг-атаками. Стоит отметить, что фишинг-инциденты на платформе Discord происходят практически каждый день, что приводит к значительным потерям для множества пользователей.
Анализ типичных инцидентов безопасности
TreasureDAO событие
3 марта платформа обмена TreasureDAO подверглась атаке, в результате которой было украдено более 100 NFT. Уязвимость возникла из-за логической ошибки в контракте TreasureMarketplaceBuyer, позволяющей злоумышленникам покупать NFT без оплаты. Эта проблема в основном вызвана логическим путаницей из-за смешивания токенов ERC-1155 и ERC-721.
Событие аирдропа APE Coin
17 марта злоумышленники использовали флэш-займы, чтобы получить более 60 000 APE Coin в рамкахairdrop. Уязвимость существовала в контракте на airdrop, который проверял лишь мгновенное владение NFT пользователем, что можно было манипулировать с помощью флэш-займа.
Revest Finance событие
27 марта Revest Finance подвергся атаке, в результате чего было потеряно около 120 000 долларов. Это典型ная атака повторного входа ERC-1155, возникшая из логического дефекта контракта при чеканке новых FNFT.
NBA проект атаки
21 апреля проект NBA подвергся атаке. Проблема заключалась в механизме проверки подписи в белом списке, в котором существовали уязвимости, связанные с подделкой и повторным использованием подписей.
Akutar событие
23 апреля у проекта Akutar возникла уязвимость в смарт-контракте, в результате которой около 34 миллионов долларов активов были заблокированы. Это произошло из-за логического дефекта в функции возврата контракта, которая не учитывала возможность того, что пользователи могли ставить на несколько NFT.
XCarnival событие
24 июня XCarnival подвергся атаке, в результате чего был потерян около 3,8 миллиона долларов. Уязвимость заключалась в том, что функции стейкинга и кредитования в контракте XNFT не имели необходимых проверок безопасности.
Часто задаваемые вопросы по аудиту контрактов NFT
Подделка и повторное использование подписей:
Логическая уязвимость:
ERC721 & ERC1155 атака повторного входа:
Слишком широкий объем полномочий:
Манипуляция ценами:
Наличие этих проблем с безопасностью подчеркивает важность全面专业审计 NFT 合约. Проекты должны уделять внимание безопасности контрактов, используя专业ные аудиты безопасности для снижения потенциальных рисков и защиты активов пользователей.