NFT Sözleşmesi Güvenlik Sorunlarının Analizi ve Denetim Noktaları
2022 yılının ilk yarısında, NFT alanında birçok önemli güvenlik olayı gerçekleşti ve yaklaşık 6490 milyon dolar kayba neden oldu. Bu olaylar, esasen sözleşme açıklarının istismarı, özel anahtar sızıntıları ve kimlik avı saldırıları gibi yöntemleri içeriyordu. Dikkate değer bir noktada, Discord platformundaki kimlik avı olaylarının neredeyse her gün meydana gelmesi ve çok sayıda bireysel kullanıcının zarar görmesine yol açmasıdır.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart'ta, TreasureDAO ticaret platformu bir saldırıya uğradı ve 100'den fazla NFT çalındı. Açık, TreasureMarketplaceBuyer sözleşmesindeki mantık hatasından kaynaklanıyor ve bu, saldırganların NFT'yi ödeme yapmadan satın almasına izin veriyor. Bu sorun esas olarak ERC-1155 ve ERC-721 token'larının karışık kullanımı nedeniyle mantık karmaşasına yol açtı.
APE Coin airdrop olayı
17 Mart'ta, saldırganlar hızlı kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde ettiler. Açık, airdrop sözleşmesinde bulunuyordu; sözleşme yalnızca kullanıcıların NFT üzerindeki anlık mülkiyetini kontrol ediyordu ve bu hızlı kredilerle manipüle edilebiliyordu.
Revest Finance olayı
27 Mart'ta, Revest Finance bir saldırıya uğradı ve yaklaşık 120.000 dolar kaybetti. Bu, yeni FNFT'ler basılırken sözleşmedeki mantık hatasından kaynaklanan tipik bir ERC-1155 yeniden giriş saldırısıdır.
NBA proje saldırısı
21 Nisan'da, NBA projesi bir saldırıya uğradı. Sorun, beyaz liste doğrulama imza kontrol mekanizmasında, imza taklidi ve yeniden kullanım açıklarının bulunmasından kaynaklanıyor.
Akutar olayı
23 Nisan'da, Akutar projesinin akıllı sözleşme açığı yaklaşık 34 milyon dolar değerinde varlıkların kilitlenmesine neden oldu. Bu, sözleşmedeki iade fonksiyonunun mantıksal hatası nedeniyle, kullanıcıların birden fazla NFT teklif edebileceği durumu göz önünde bulundurmadığı için meydana geldi.
XCarnival olayı
24 Haziran'da, XCarnival saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybetti. Açık, XNFT sözleşmesindeki staking ve borç verme işlevlerinin gerekli güvenlik kontrollerinden yoksun olmasındaydı.
NFT Sözleşme Denetimi Sıkça Sorulan Sorular
İmza kötüye kullanımı ve yeniden kullanımı:
Tekrar yürütme doğrulaması eksik
İmza kontrolü mantıksız
Mantık açığı:
Madeni para arzı kontrolsüz
Müzayede sürecindeki işlem sırası saldırıya bağımlıdır.
ERC721 ve ERC1155 yeniden giriş saldırısı:
Transfer bildirim işlevi yeniden girmeye neden olabilir
Yetki kapsamı çok geniş:
Gereksiz küresel yetkilendirme, NFT'nin çalınmasına yol açabilir.
Fiyat manipülasyonu:
NFT fiyatı dışsal faktörlere bağımlıdır, kolayca manipüle edilebilir.
Bu güvenlik sorunlarının varlığı, NFT sözleşmelerinin kapsamlı ve profesyonel bir denetimden geçirilmesinin önemini vurgulamaktadır. Proje ekipleri, sözleşme güvenliğine önem vermeli ve potansiyel riskleri önlemek için profesyonel güvenlik denetimleri gerçekleştirmelidir, böylece kullanıcı varlıklarının güvenliğini koruyabilirler.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
10 Likes
Reward
10
3
Share
Comment
0/400
FloorPriceWatcher
· 08-01 15:54
Tüh, aynı çukura daha ne kadar basacağız?
View OriginalReply0
gas_fee_therapy
· 08-01 15:36
Yine bedavaya mı kapıldın? Sözleşme açıkları gerçekten şeytan.
NFT sözleşmesi güvenlik olayları sıkça yaşanıyor. Altı ana denetim noktası riskleri önlemek için.
NFT Sözleşmesi Güvenlik Sorunlarının Analizi ve Denetim Noktaları
2022 yılının ilk yarısında, NFT alanında birçok önemli güvenlik olayı gerçekleşti ve yaklaşık 6490 milyon dolar kayba neden oldu. Bu olaylar, esasen sözleşme açıklarının istismarı, özel anahtar sızıntıları ve kimlik avı saldırıları gibi yöntemleri içeriyordu. Dikkate değer bir noktada, Discord platformundaki kimlik avı olaylarının neredeyse her gün meydana gelmesi ve çok sayıda bireysel kullanıcının zarar görmesine yol açmasıdır.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart'ta, TreasureDAO ticaret platformu bir saldırıya uğradı ve 100'den fazla NFT çalındı. Açık, TreasureMarketplaceBuyer sözleşmesindeki mantık hatasından kaynaklanıyor ve bu, saldırganların NFT'yi ödeme yapmadan satın almasına izin veriyor. Bu sorun esas olarak ERC-1155 ve ERC-721 token'larının karışık kullanımı nedeniyle mantık karmaşasına yol açtı.
APE Coin airdrop olayı
17 Mart'ta, saldırganlar hızlı kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde ettiler. Açık, airdrop sözleşmesinde bulunuyordu; sözleşme yalnızca kullanıcıların NFT üzerindeki anlık mülkiyetini kontrol ediyordu ve bu hızlı kredilerle manipüle edilebiliyordu.
Revest Finance olayı
27 Mart'ta, Revest Finance bir saldırıya uğradı ve yaklaşık 120.000 dolar kaybetti. Bu, yeni FNFT'ler basılırken sözleşmedeki mantık hatasından kaynaklanan tipik bir ERC-1155 yeniden giriş saldırısıdır.
NBA proje saldırısı
21 Nisan'da, NBA projesi bir saldırıya uğradı. Sorun, beyaz liste doğrulama imza kontrol mekanizmasında, imza taklidi ve yeniden kullanım açıklarının bulunmasından kaynaklanıyor.
Akutar olayı
23 Nisan'da, Akutar projesinin akıllı sözleşme açığı yaklaşık 34 milyon dolar değerinde varlıkların kilitlenmesine neden oldu. Bu, sözleşmedeki iade fonksiyonunun mantıksal hatası nedeniyle, kullanıcıların birden fazla NFT teklif edebileceği durumu göz önünde bulundurmadığı için meydana geldi.
XCarnival olayı
24 Haziran'da, XCarnival saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybetti. Açık, XNFT sözleşmesindeki staking ve borç verme işlevlerinin gerekli güvenlik kontrollerinden yoksun olmasındaydı.
NFT Sözleşme Denetimi Sıkça Sorulan Sorular
İmza kötüye kullanımı ve yeniden kullanımı:
Mantık açığı:
ERC721 ve ERC1155 yeniden giriş saldırısı:
Yetki kapsamı çok geniş:
Fiyat manipülasyonu:
Bu güvenlik sorunlarının varlığı, NFT sözleşmelerinin kapsamlı ve profesyonel bir denetimden geçirilmesinin önemini vurgulamaktadır. Proje ekipleri, sözleşme güvenliğine önem vermeli ve potansiyel riskleri önlemek için profesyonel güvenlik denetimleri gerçekleştirmelidir, böylece kullanıcı varlıklarının güvenliğini koruyabilirler.