NFT Sözleşmesi Güvenlik Sorunları Analizi ve Denetim Önerileri
2022 yılının ilk yarısında, NFT alanında birçok önemli güvenlik olayı meydana geldi ve büyük ekonomik kayıplara yol açtı. Veri platformlarının izlemelerine göre, yalnızca ana güvenlik olayları sayısı 10'dur ve kayıplar yaklaşık 6490 milyon dolardır. Saldırı yöntemleri arasında sözleşme açıklarının kullanımı, özel anahtarların sızdırılması ve kimlik avı gibi yöntemler bulunmaktadır. Aynı zamanda, Discord platformundaki kimlik avı saldırıları da oldukça yaygındır; neredeyse her gün kullanıcılar kötü niyetli bağlantılara tıklamaları nedeniyle kayıplara uğramaktadır.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Sebebi, sözleşmede bir mantık açığı bulunması ve ERC-1155 ile ERC-721 tokenlerinin karışık kullanımı nedeniyle hesaplama hatası oluşmasıdır; bu da saldırganların NFT'leri sıfır maliyetle satın almasına olanak tanımıştır.
APE Coin airdrop olayı
17 Mart 2022'de, bir hacker, bir flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, airdrop sözleşmesinin yalnızca çağrıcının NFT üzerindeki anlık mülkiyetini kontrol etmesindeydi ve bu, flash kredi ile manipüle edilebiliyordu.
Revest Finance olayı
27 Mart 2022'de, Revest Finance saldırıya uğradı ve 120.000 $ kaybetti. Sebebi, sözleşmede bulunan ERC-1155 reentrancy açığıydı; bu açıktan dolayı saldırganlar, minting sürecinde ilgili fonksiyonları tekrar tekrar çağırabiliyordu.
NBA projesi saldırı olayı
21 Nisan 2022'de, NBA projesi bir siber saldırıya uğradı. Sözleşmede beyaz liste doğrulaması sırasında imza taklidi ve yeniden kullanımı sorunları vardı, kullanılan imzaların kaydedilmesi ve doğrulanması yapılmadı.
Akutar olayı
23 Nisan 2022'de, Akutar projesi sözleşme mantığı açığı nedeniyle 34 milyon dolarlık varlık kilitlendi. İade fonksiyonu yanlış tasarlandı ve kullanıcıların birden fazla teklifte bulunma durumu göz önünde bulundurulmadı.
XCarnival olayı
24 Haziran 2022'de, XCarnival saldırıya uğradı ve yaklaşık 3,8 milyon dolar kaybetti. Sebebi, sözleşmenin teminat verme ve borç alma sürecinde gerekli güvenlik kontrollerinden yoksun olmasıdır.
NFT Sözleşmesi Yaygın Denetim Sorunları
İmzalı kötüye kullanma ve yeniden kullanma: Tekrar yürütme doğrulaması eksik, imza kontrolü mantıksız.
Mantık açığı: Yönetici yetkileri çok fazla, müzayede sürecinde açıklar mevcut.
ERC721/ERC1155 tekrar saldırısı: Para transferi bildirim işlevi tekrar saldırıya yol açabilir.
Yetki kapsamı çok geniş: Kullanıcı aşırı yetki verirse NFT çalınabilir.
Fiyat manipülasyonu: NFT fiyatları dışsal faktörlere bağlıdır ve kolayca manipüle edilebilir.
Sonuç
NFT sözleşmesi güvenlik olayları sık sık meydana geliyor, bunun başlıca nedeni kapsamlı bir güvenlik denetiminin olmaması. Proje sahipleri sözleşme güvenliğine önem vermeli, potansiyel riskleri önlemek ve kullanıcı varlıklarını korumak için profesyonel güvenlik şirketlerinden denetim talep etmelidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 Likes
Reward
16
5
Share
Comment
0/400
blocksnark
· 08-02 03:33
Bu kadar çok hata mı var? Bu aptalca işlemi gerçekten anlamıyorum.
View OriginalReply0
HashBrownies
· 07-31 08:59
Kötü duruma düştün, değil mi? Açıkça bir ders alman gerekiyordu ama yine de aynı hatayı tekrarlamaya ısrar ettin.
View OriginalReply0
SerLiquidated
· 07-31 04:17
Açıkçası, şimdi kim NFT'ye dokunmaya cesaret edebilir?
View OriginalReply0
LiquidationWatcher
· 07-31 04:17
*ptsd anıları treasuredao'ya* aman tanrım, başka bir akıllı sözleşme felaketi daha bekliyor... güvende kal anon, o denetimleri iki kez kontrol et ya da gerçekten rekt ol.
View OriginalReply0
BearMarketSage
· 07-31 04:17
Yine enayiler insanları enayi yerine koymakta, çok komik.
NFT sözleşmelerindeki güvenlik açıkları sık sık meydana geliyor, denetim kritik bir savunma hattı haline geliyor.
NFT Sözleşmesi Güvenlik Sorunları Analizi ve Denetim Önerileri
2022 yılının ilk yarısında, NFT alanında birçok önemli güvenlik olayı meydana geldi ve büyük ekonomik kayıplara yol açtı. Veri platformlarının izlemelerine göre, yalnızca ana güvenlik olayları sayısı 10'dur ve kayıplar yaklaşık 6490 milyon dolardır. Saldırı yöntemleri arasında sözleşme açıklarının kullanımı, özel anahtarların sızdırılması ve kimlik avı gibi yöntemler bulunmaktadır. Aynı zamanda, Discord platformundaki kimlik avı saldırıları da oldukça yaygındır; neredeyse her gün kullanıcılar kötü niyetli bağlantılara tıklamaları nedeniyle kayıplara uğramaktadır.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Sebebi, sözleşmede bir mantık açığı bulunması ve ERC-1155 ile ERC-721 tokenlerinin karışık kullanımı nedeniyle hesaplama hatası oluşmasıdır; bu da saldırganların NFT'leri sıfır maliyetle satın almasına olanak tanımıştır.
APE Coin airdrop olayı
17 Mart 2022'de, bir hacker, bir flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, airdrop sözleşmesinin yalnızca çağrıcının NFT üzerindeki anlık mülkiyetini kontrol etmesindeydi ve bu, flash kredi ile manipüle edilebiliyordu.
Revest Finance olayı
27 Mart 2022'de, Revest Finance saldırıya uğradı ve 120.000 $ kaybetti. Sebebi, sözleşmede bulunan ERC-1155 reentrancy açığıydı; bu açıktan dolayı saldırganlar, minting sürecinde ilgili fonksiyonları tekrar tekrar çağırabiliyordu.
NBA projesi saldırı olayı
21 Nisan 2022'de, NBA projesi bir siber saldırıya uğradı. Sözleşmede beyaz liste doğrulaması sırasında imza taklidi ve yeniden kullanımı sorunları vardı, kullanılan imzaların kaydedilmesi ve doğrulanması yapılmadı.
Akutar olayı
23 Nisan 2022'de, Akutar projesi sözleşme mantığı açığı nedeniyle 34 milyon dolarlık varlık kilitlendi. İade fonksiyonu yanlış tasarlandı ve kullanıcıların birden fazla teklifte bulunma durumu göz önünde bulundurulmadı.
XCarnival olayı
24 Haziran 2022'de, XCarnival saldırıya uğradı ve yaklaşık 3,8 milyon dolar kaybetti. Sebebi, sözleşmenin teminat verme ve borç alma sürecinde gerekli güvenlik kontrollerinden yoksun olmasıdır.
NFT Sözleşmesi Yaygın Denetim Sorunları
İmzalı kötüye kullanma ve yeniden kullanma: Tekrar yürütme doğrulaması eksik, imza kontrolü mantıksız.
Mantık açığı: Yönetici yetkileri çok fazla, müzayede sürecinde açıklar mevcut.
ERC721/ERC1155 tekrar saldırısı: Para transferi bildirim işlevi tekrar saldırıya yol açabilir.
Yetki kapsamı çok geniş: Kullanıcı aşırı yetki verirse NFT çalınabilir.
Fiyat manipülasyonu: NFT fiyatları dışsal faktörlere bağlıdır ve kolayca manipüle edilebilir.
Sonuç
NFT sözleşmesi güvenlik olayları sık sık meydana geliyor, bunun başlıca nedeni kapsamlı bir güvenlik denetiminin olmaması. Proje sahipleri sözleşme güvenliğine önem vermeli, potansiyel riskleri önlemek ve kullanıcı varlıklarını korumak için profesyonel güvenlik şirketlerinden denetim talep etmelidir.