Аналіз питань безпеки смарт-контрактів NFT та ключові моменти аудиту
У першій половині 2022 року в сфері NFT сталося кілька значних інцидентів безпеки, що призвели до збитків приблизно на 64,9 мільйона доларів США. Ці інциденти в основному пов'язані з експлуатацією вразливостей контрактів, витоком приватних ключів та фішинг-атаками. Варто зазначити, що фішингові інциденти на платформі Discord трапляються майже щодня, що призводить до значних збитків для багатьох користувачів.
Аналіз типових інцидентів безпеки
Подія ### TreasureDAO
3 березня платформа торгівлі TreasureDAO зазнала атаки, внаслідок чого було вкрадено понад 100 NFT. Вразливість виникла через логічну помилку в контракті TreasureMarketplaceBuyer, що дозволило зловмисникам купувати NFT без оплати. Ця проблема головним чином виникла через логічну плутанину, спричинену змішаним використанням токенів ERC-1155 та ERC-721.
Подія аірдропу APE Coin
17 березня зловмисники використали flash loan для отримання понад 60 тисяч APE Coin airdrop. Уразливість існувала в контракті airdrop, який перевіряв лише миттєве володіння NFT, і це можна було маніпулювати за допомогою flash loan.
Ревест Фінанс подія
27 березня Revest Finance зазнав атаки, внаслідок чого було втрачено приблизно 120 тисяч доларів. Це типова атака повторного входу ERC-1155, що сталася через логічний дефект у контракті під час випуску нових FNFT.
NBA проект атак
21 квітня проект NBA зазнав атаки. Проблема полягає в механізмі перевірки підписів для білих списків, де існує вразливість до підробки та повторного використання підписів.
Akutar подія
23 квітня внаслідок вразливості смарт-контракту проекту Akutar було заблоковано активи на суму близько 34 мільйонів доларів. Це сталося через логічний дефект у функції повернення коштів у контракті, яка не враховувала можливість участі користувачів у торгах за кілька NFT.
XCarnival подія
24 червня XCarnival зазнав атаки, внаслідок якої було втрачено приблизно 3,8 мільйона доларів. Уразливість полягала в тому, що функції стейкінгу та кредитування в контракті XNFT не мали необхідних перевірок безпеки.
Поширені запитання щодо аудиту контрактів NFT
Підробка та повторне використання підпису:
Відсутня перевірка на повторне виконання
Перевірка підпису є нерозумною
Логічна уразливість:
Неправильний контроль загальної кількості монет
Порядок торгівлі під час аукціону залежить від атаки
ERC721 & ERC1155 атака повторного входу:
Функція повідомлення про переказ може призвести до повторного входу
Занадто великий обсяг повноважень:
Непотрібні глобальні дозволи можуть призвести до крадіжки NFT
Маніпуляція ціною:
Ціна NFT залежить від зовнішніх факторів, легко піддається маніпуляціям
Ці проблеми безпеки підкреслюють важливість проведення повних професійних аудитів контрактів NFT. Команди проектів повинні приділяти увагу безпеці контрактів, використовуючи професійний аудит безпеки для уникнення потенційних ризиків та захисту активів користувачів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
3
Поділіться
Прокоментувати
0/400
FloorPriceWatcher
· 08-01 15:54
Цокання, як довго ще доведеться потрапляти в одну й ту ж яму?
Переглянути оригіналвідповісти на0
gas_fee_therapy
· 08-01 15:36
Знову обдурили? Уразливість контракту справжній диявол.
Переглянути оригіналвідповісти на0
AlgoAlchemist
· 08-01 15:34
Цього разу ще один DAO, про який стало відомо, але це не має значення.
Часті випадки безпеки контрактів NFT: шість ключових моментів аудиту для запобігання ризикам
Аналіз питань безпеки смарт-контрактів NFT та ключові моменти аудиту
У першій половині 2022 року в сфері NFT сталося кілька значних інцидентів безпеки, що призвели до збитків приблизно на 64,9 мільйона доларів США. Ці інциденти в основному пов'язані з експлуатацією вразливостей контрактів, витоком приватних ключів та фішинг-атаками. Варто зазначити, що фішингові інциденти на платформі Discord трапляються майже щодня, що призводить до значних збитків для багатьох користувачів.
Аналіз типових інцидентів безпеки
Подія ### TreasureDAO
3 березня платформа торгівлі TreasureDAO зазнала атаки, внаслідок чого було вкрадено понад 100 NFT. Вразливість виникла через логічну помилку в контракті TreasureMarketplaceBuyer, що дозволило зловмисникам купувати NFT без оплати. Ця проблема головним чином виникла через логічну плутанину, спричинену змішаним використанням токенів ERC-1155 та ERC-721.
Подія аірдропу APE Coin
17 березня зловмисники використали flash loan для отримання понад 60 тисяч APE Coin airdrop. Уразливість існувала в контракті airdrop, який перевіряв лише миттєве володіння NFT, і це можна було маніпулювати за допомогою flash loan.
Ревест Фінанс подія
27 березня Revest Finance зазнав атаки, внаслідок чого було втрачено приблизно 120 тисяч доларів. Це типова атака повторного входу ERC-1155, що сталася через логічний дефект у контракті під час випуску нових FNFT.
NBA проект атак
21 квітня проект NBA зазнав атаки. Проблема полягає в механізмі перевірки підписів для білих списків, де існує вразливість до підробки та повторного використання підписів.
Akutar подія
23 квітня внаслідок вразливості смарт-контракту проекту Akutar було заблоковано активи на суму близько 34 мільйонів доларів. Це сталося через логічний дефект у функції повернення коштів у контракті, яка не враховувала можливість участі користувачів у торгах за кілька NFT.
XCarnival подія
24 червня XCarnival зазнав атаки, внаслідок якої було втрачено приблизно 3,8 мільйона доларів. Уразливість полягала в тому, що функції стейкінгу та кредитування в контракті XNFT не мали необхідних перевірок безпеки.
Поширені запитання щодо аудиту контрактів NFT
Підробка та повторне використання підпису:
Логічна уразливість:
ERC721 & ERC1155 атака повторного входу:
Занадто великий обсяг повноважень:
Маніпуляція ціною:
Ці проблеми безпеки підкреслюють важливість проведення повних професійних аудитів контрактів NFT. Команди проектів повинні приділяти увагу безпеці контрактів, використовуючи професійний аудит безпеки для уникнення потенційних ризиків та захисту активів користувачів.