Анализ безопасности NFT-контрактов и обсуждение распространенных вопросов
В первой половине 2022 года в области NFT произошло множество инцидентов безопасности, что привело к значительным убыткам для отрасли. По статистике, в этот период произошло 10 основных инцидентов безопасности, которые привели к ущербу около 64,9 миллиона долларов. Основные методы атак включали эксплуатацию уязвимостей контрактов, утечку частных ключей и фишинг. Следует отметить, что фишинговые атаки на платформе Discord были особенно распространены, практически каждый день сервера подвергались атакам, что приводило к частым потерям среди личных пользователей.
В числе этих инцидентов по безопасности несколько особенно примечательных:
Событие TreasureDAO: из-за смешивания токенов ERC-1155 и ERC-721 произошла логическая путаница, в результате чего хакеры успешно украли более 100 NFT.
Событие airdrop APE Coin: Хакеры использовали Flash Loan для получения более 60000 APE Coin через airdrop. Это выявило уязвимость контракта airdrop в определении прав собственности на NFT.
Событие Revest Finance: из-за уязвимости повторного входа ERC-1155 проект понес убытки около 120000 долларов.
Проект NBA подвергся атаке: проблемы с подделкой подписей и их повторным использованием привели к сбою проверки белого списка.
Событие Akutar: из-за логической уязвимости смарт-контракта около 34 миллионов долларов активов были заблокированы в контракте.
Событие XCarnival: Логическая уязвимость контракта привела к тому, что хакеры получили прибыль около 3,8 миллиона долларов.
Эти события выявили некоторые общие проблемы, существующие в процессе проектирования и реализации NFT-контрактов. Профессиональные аудиторские команды часто обнаруживают следующие виды проблем при аудите NFT-контрактов:
Подделка и повторное использование подписи: отсутствие проверки на повторное выполнение или неразумная проверка подписи, что приводит к возможности многократного использования подписи или ее проверки любым пользователем.
Логические уязвимости: такие как неправильный контроль общего объема эмиссии, уязвимости в процессе аукциона и т.д.
ERC721/ERC1155 повторная атака: при использовании функции уведомления о переводе может произойти повторная атака.
Слишком широкий объем полномочий: пользователям может быть предложено предоставить чрезмерные полномочия при некоторых операциях, что увеличивает риск кражи NFT.
Манипуляция ценами: Когда цена NFT зависит от некоторых манипулируемых факторов, это может привести к аномальным ликвидациям.
Эти проблемы часто возникают в ходе реальных атак, подчеркивая важность профессионального аудита безопасности для NFT контрактов. Команды проектов должны уделять внимание безопасности контрактов и выбирать профессиональные компании для комплексного аудита, чтобы снизить риски безопасности и защитить интересы пользователей.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
21 Лайков
Награда
21
7
Репост
Поделиться
комментарий
0/400
MintMaster
· 07-24 15:08
В это время просто открыто грабят.
Посмотреть ОригиналОтветить0
notSatoshi1971
· 07-22 22:16
Снова вижу смарт-контракты от hk
Посмотреть ОригиналОтветить0
GateUser-afe07a92
· 07-22 12:22
Будут играть для лохов снова появились новые схемы.
Посмотреть ОригиналОтветить0
StablecoinAnxiety
· 07-21 15:56
Без слов, ха, снова дыра.
Посмотреть ОригиналОтветить0
StakeWhisperer
· 07-21 15:55
Хорошо проверенные контракты, меньше теряем.
Посмотреть ОригиналОтветить0
BackrowObserver
· 07-21 15:53
Убытков недостаточно, чтобы купить себе бутылку напитка.
Анализ угроз безопасности контрактов NFT: распространенные уязвимости и меры предотвращения на основе частых инцидентов
Анализ безопасности NFT-контрактов и обсуждение распространенных вопросов
В первой половине 2022 года в области NFT произошло множество инцидентов безопасности, что привело к значительным убыткам для отрасли. По статистике, в этот период произошло 10 основных инцидентов безопасности, которые привели к ущербу около 64,9 миллиона долларов. Основные методы атак включали эксплуатацию уязвимостей контрактов, утечку частных ключей и фишинг. Следует отметить, что фишинговые атаки на платформе Discord были особенно распространены, практически каждый день сервера подвергались атакам, что приводило к частым потерям среди личных пользователей.
В числе этих инцидентов по безопасности несколько особенно примечательных:
Событие TreasureDAO: из-за смешивания токенов ERC-1155 и ERC-721 произошла логическая путаница, в результате чего хакеры успешно украли более 100 NFT.
Событие airdrop APE Coin: Хакеры использовали Flash Loan для получения более 60000 APE Coin через airdrop. Это выявило уязвимость контракта airdrop в определении прав собственности на NFT.
Событие Revest Finance: из-за уязвимости повторного входа ERC-1155 проект понес убытки около 120000 долларов.
Проект NBA подвергся атаке: проблемы с подделкой подписей и их повторным использованием привели к сбою проверки белого списка.
Событие Akutar: из-за логической уязвимости смарт-контракта около 34 миллионов долларов активов были заблокированы в контракте.
Событие XCarnival: Логическая уязвимость контракта привела к тому, что хакеры получили прибыль около 3,8 миллиона долларов.
Эти события выявили некоторые общие проблемы, существующие в процессе проектирования и реализации NFT-контрактов. Профессиональные аудиторские команды часто обнаруживают следующие виды проблем при аудите NFT-контрактов:
Подделка и повторное использование подписи: отсутствие проверки на повторное выполнение или неразумная проверка подписи, что приводит к возможности многократного использования подписи или ее проверки любым пользователем.
Логические уязвимости: такие как неправильный контроль общего объема эмиссии, уязвимости в процессе аукциона и т.д.
ERC721/ERC1155 повторная атака: при использовании функции уведомления о переводе может произойти повторная атака.
Слишком широкий объем полномочий: пользователям может быть предложено предоставить чрезмерные полномочия при некоторых операциях, что увеличивает риск кражи NFT.
Манипуляция ценами: Когда цена NFT зависит от некоторых манипулируемых факторов, это может привести к аномальным ликвидациям.
Эти проблемы часто возникают в ходе реальных атак, подчеркивая важность профессионального аудита безопасности для NFT контрактов. Команды проектов должны уделять внимание безопасности контрактов и выбирать профессиональные компании для комплексного аудита, чтобы снизить риски безопасности и защитить интересы пользователей.