Аналіз проблем безпеки контрактів NFT та рекомендації щодо аудиту
У першій половині 2022 року в області NFT сталося кілька значних інцидентів безпеки, що призвели до величезних економічних втрат. За даними моніторингової платформи, тільки основних інцидентів безпеки було 10, а втрати становили приблизно 6490 мільйонів доларів. Основні методи атаки включали експлуатацію вразливостей контракту, витік приватних ключів та фішинг. У той же час фішинг-атаки на платформі Discord також були дуже поширені, і майже щодня користувачі зазнавали втрат через клік на шкідливі посилання.
Аналіз типових інцидентів безпеки
Подія ### TreasureDAO
3 березня 2022 року платформа торгівлі TreasureDAO зазнала хакерської атаки, в результаті якої було вкрадено понад 100 NFT. Причиною стала логічна вразливість контракту, змішування токенів ERC-1155 та ERC-721 призвело до обчислювальної помилки, що дозволило зловмиснику придбати NFT безкоштовно.
подія аірдропу APE Coin
17 березня 2022 року хакери використали флеш-кредити, щоб отримати понад 60 000 APE Coin аерозподілу. Уразливість полягала в тому, що контракт аерозподілу перевіряв лише миттєве володіння NFT з боку виклику, а це можна було маніпулювати за допомогою флеш-кредитів.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнала атаки, внаслідок якої було втрачено 120 000 доларів США. Причиною стало наявність в контракті вразливості повторного виклику ERC-1155, що дозволяло зловмиснику повторно викликати відповідні функції під час процесу випуску.
Напад на проект NBA
21 квітня 2022 року проект НБА зазнав хакерської атаки. У контракті під час перевірки білого списку існують проблеми з підробкою і повторним використанням підписів, не було запису та перевірки використаних підписів.
Подія Akutar
23 квітня 2022 року проект Akutar через логічну вразливість контракту призвів до блокування активів на суму 34 мільйони доларів. Функція повернення коштів була спроектована неналежним чином і не враховувала випадки багаторазових ставок користувачів.
XCarnival подія
24 червня 2022 року XCarnival зазнав атаки, що призвела до втрат приблизно 3,8 мільйона доларів США. Причиною є відсутність необхідних заходів безпеки під час процесу стейкінгу та кредитування.
Загальні проблеми аудиту NFT контрактів
Підробка та повторне використання підписів: відсутність перевірки повторного виконання, перевірка підпису є нерозумною.
Логічна уразливість: надто великі права адміністратора, наявність вразливостей у процесі аукціону.
ERC721/ERC1155 повторні атаки: функція повідомлення про переказ може призвести до повторних атак.
Занадто великий обсяг повноважень: користувач може надати надмірні повноваження, що призводить до крадіжки NFT.
Маніпуляція цінами: Ціни на NFT залежать від зовнішніх факторів і легко піддаються маніпуляціям.
Висновок
Події безпеки контрактів NFT відбуваються часто, і основна причина цього – відсутність комплексного аудиту безпеки. Команди проектів повинні приділяти увагу безпеці контрактів, звертаючись до професійних компаній для проведення аудиту, щоб запобігти потенційним ризикам та захистити безпеку активів користувачів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
5
Поділіться
Прокоментувати
0/400
blocksnark
· 08-02 03:33
Занадто багато вразливостей, я справді вражений цією ідіотською операцією.
Переглянути оригіналвідповісти на0
HashBrownies
· 07-31 08:59
Сильно втратили, правда? Ясно, що є уроки, але все ж хочете наступити на ті ж граблі.
Переглянути оригіналвідповісти на0
SerLiquidated
· 07-31 04:17
Чесно кажучи, зараз хто ще наважиться торкнутися NFT?
Переглянути оригіналвідповісти на0
LiquidationWatcher
· 07-31 04:17
*посттравматичні спогади про treasuredao* о боже, знову катастрофа смарт-контракту, яка чекає на свій час... бережіть себе, анонім, перевірте ці аудити двічі, або отримаєте реальний крах fr fr
Безпека NFT-контрактів під загрозою: аудит стає ключовою лінією оборони
Аналіз проблем безпеки контрактів NFT та рекомендації щодо аудиту
У першій половині 2022 року в області NFT сталося кілька значних інцидентів безпеки, що призвели до величезних економічних втрат. За даними моніторингової платформи, тільки основних інцидентів безпеки було 10, а втрати становили приблизно 6490 мільйонів доларів. Основні методи атаки включали експлуатацію вразливостей контракту, витік приватних ключів та фішинг. У той же час фішинг-атаки на платформі Discord також були дуже поширені, і майже щодня користувачі зазнавали втрат через клік на шкідливі посилання.
Аналіз типових інцидентів безпеки
Подія ### TreasureDAO
3 березня 2022 року платформа торгівлі TreasureDAO зазнала хакерської атаки, в результаті якої було вкрадено понад 100 NFT. Причиною стала логічна вразливість контракту, змішування токенів ERC-1155 та ERC-721 призвело до обчислювальної помилки, що дозволило зловмиснику придбати NFT безкоштовно.
подія аірдропу APE Coin
17 березня 2022 року хакери використали флеш-кредити, щоб отримати понад 60 000 APE Coin аерозподілу. Уразливість полягала в тому, що контракт аерозподілу перевіряв лише миттєве володіння NFT з боку виклику, а це можна було маніпулювати за допомогою флеш-кредитів.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнала атаки, внаслідок якої було втрачено 120 000 доларів США. Причиною стало наявність в контракті вразливості повторного виклику ERC-1155, що дозволяло зловмиснику повторно викликати відповідні функції під час процесу випуску.
Напад на проект NBA
21 квітня 2022 року проект НБА зазнав хакерської атаки. У контракті під час перевірки білого списку існують проблеми з підробкою і повторним використанням підписів, не було запису та перевірки використаних підписів.
Подія Akutar
23 квітня 2022 року проект Akutar через логічну вразливість контракту призвів до блокування активів на суму 34 мільйони доларів. Функція повернення коштів була спроектована неналежним чином і не враховувала випадки багаторазових ставок користувачів.
XCarnival подія
24 червня 2022 року XCarnival зазнав атаки, що призвела до втрат приблизно 3,8 мільйона доларів США. Причиною є відсутність необхідних заходів безпеки під час процесу стейкінгу та кредитування.
Загальні проблеми аудиту NFT контрактів
Підробка та повторне використання підписів: відсутність перевірки повторного виконання, перевірка підпису є нерозумною.
Логічна уразливість: надто великі права адміністратора, наявність вразливостей у процесі аукціону.
ERC721/ERC1155 повторні атаки: функція повідомлення про переказ може призвести до повторних атак.
Занадто великий обсяг повноважень: користувач може надати надмірні повноваження, що призводить до крадіжки NFT.
Маніпуляція цінами: Ціни на NFT залежать від зовнішніх факторів і легко піддаються маніпуляціям.
Висновок
Події безпеки контрактів NFT відбуваються часто, і основна причина цього – відсутність комплексного аудиту безпеки. Команди проектів повинні приділяти увагу безпеці контрактів, звертаючись до професійних компаній для проведення аудиту, щоб запобігти потенційним ризикам та захистити безпеку активів користувачів.