أمان عقود NFT: مراجعة أحداث النصف الأول من عام 2022 وتحليل الأسئلة الشائعة
في النصف الأول من عام 2022، تكررت حوادث الأمان في مجال NFT، مما تسبب في خسائر اقتصادية ضخمة. وفقًا لإحصائيات منصة البيانات، وقعت خلال هذه الفترة 10 حوادث أمان رئيسية في NFT، بلغت خسائرها حوالي 6490 مليون دولار. وكانت أساليب الهجوم الرئيسية تشمل استغلال ثغرات العقود، تسرب المفاتيح الخاصة، والصيد الاحتيالي. ومن بين ذلك، كانت هجمات الصيد الاحتيالي على منصة Discord شديدة الانتشار، حيث تعرضت الخوادم للهجوم تقريبًا كل يوم، مما أدى إلى تكبد المستخدمين خسائر متكررة.
مراجعة حوادث الأمان النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO للتداول للاختراق، وتم سرقة أكثر من 100 NFT. وكان السبب هو وجود ثغرة منطقية في العقد، حيث لم يتم التمييز بين رموز ERC-1155 وERC-721، مما أتاح للمهاجمين شراء NFT دون أي تكلفة.
حدث توزيع عملة APE
في 17 مارس 2022، استغل القراصنة القرض السريع للحصول على أكثر من 60000 قطعة من APE Coin كمكافأة. كانت الثغرة في أن عقد المكافأة يتحقق فقط من حالة حيازة NFT الحالية للمستخدم، دون النظر في التغيرات الفورية التي قد تنجم عن القرض السريع.
فعالية Revest Finance
في 27 مارس 2022، تعرضت Revest Finance لهجوم، وخسرت 120,000 دولار. وكان السبب هو ثغرة إعادة الدخول في رموز ERC-1155، حيث لم يتم إجراء فحص كافٍ للعقد عند سك NFT جديد.
حدث مشروع NBA
في 21 أبريل 2022، تعرض مشروع NFT المتعلق بـ NBA لهجوم. تكمن المشكلة في آلية التحقق من التوقيع، حيث توجد مخاطر استغلال وإعادة استخدام التوقيع.
حدث أكوتار
في 23 أبريل 2022، أدى مشروع Akutar بسبب ثغرة في منطق العقد إلى قفل 1.15万ETH( بقيمة حوالي 3400万美元). السبب الرئيسي هو تصميم دالة الاسترداد بشكل غير صحيح، حيث لم يتم اعتبار حالة تقديم المستخدمين لعطاءات متعددة.
حدث XCarnival
في 24 يونيو 2022، تعرض بروتوكول إقراض NFT XCarnival لهجوم، مما أدى إلى خسارة 3087 ETH(، أي حوالي 3.8 مليون دولار). كانت الثغرة في وجود عيوب في منطق الرهن والإقراض، حيث لم يتم التحقق بشكل كافٍ من حالة الضمانات والإقراض.
مشاكل الأمان الشائعة في عقود NFT
عيوب آلية التوقيع: تشمل مشكلة إعادة استخدام التوقيع وانتحال الشخصية.
ثغرات منطقية: مثل التحكم غير المناسب في كمية العملة، وثغرات المزايدة، إلخ.
هجمات إعادة الدخول ERC721/ERC1155: قد تؤدي إشعارات التحويل إلى إعادة الدخول.
نطاق التفويض واسع للغاية: التفويض العالمي غير الضروري يزيد من مخاطر سرقة الأصول.
تلاعب الأسعار: الاعتماد على مصادر بيانات خارجية قد يؤدي إلى تصفية غير طبيعية.
تظهر هذه المشكلات بشكل متكرر في الهجمات الفعلية، مما يبرز أهمية إجراء تدقيق أمني شامل لمشاريع NFT. يجب على المطورين إيلاء اهتمام خاص لأمان العقود، ودعوة المؤسسات المتخصصة لإجراء التدقيق، من أجل تجنب المخاطر المحتملة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
إنذار حول أمان عقود NFT: تحليل خسائر 64.9 مليون دولار في النصف الأول من 2022 والثغرات الشائعة
أمان عقود NFT: مراجعة أحداث النصف الأول من عام 2022 وتحليل الأسئلة الشائعة
في النصف الأول من عام 2022، تكررت حوادث الأمان في مجال NFT، مما تسبب في خسائر اقتصادية ضخمة. وفقًا لإحصائيات منصة البيانات، وقعت خلال هذه الفترة 10 حوادث أمان رئيسية في NFT، بلغت خسائرها حوالي 6490 مليون دولار. وكانت أساليب الهجوم الرئيسية تشمل استغلال ثغرات العقود، تسرب المفاتيح الخاصة، والصيد الاحتيالي. ومن بين ذلك، كانت هجمات الصيد الاحتيالي على منصة Discord شديدة الانتشار، حيث تعرضت الخوادم للهجوم تقريبًا كل يوم، مما أدى إلى تكبد المستخدمين خسائر متكررة.
مراجعة حوادث الأمان النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO للتداول للاختراق، وتم سرقة أكثر من 100 NFT. وكان السبب هو وجود ثغرة منطقية في العقد، حيث لم يتم التمييز بين رموز ERC-1155 وERC-721، مما أتاح للمهاجمين شراء NFT دون أي تكلفة.
حدث توزيع عملة APE
في 17 مارس 2022، استغل القراصنة القرض السريع للحصول على أكثر من 60000 قطعة من APE Coin كمكافأة. كانت الثغرة في أن عقد المكافأة يتحقق فقط من حالة حيازة NFT الحالية للمستخدم، دون النظر في التغيرات الفورية التي قد تنجم عن القرض السريع.
فعالية Revest Finance
في 27 مارس 2022، تعرضت Revest Finance لهجوم، وخسرت 120,000 دولار. وكان السبب هو ثغرة إعادة الدخول في رموز ERC-1155، حيث لم يتم إجراء فحص كافٍ للعقد عند سك NFT جديد.
حدث مشروع NBA
في 21 أبريل 2022، تعرض مشروع NFT المتعلق بـ NBA لهجوم. تكمن المشكلة في آلية التحقق من التوقيع، حيث توجد مخاطر استغلال وإعادة استخدام التوقيع.
حدث أكوتار
في 23 أبريل 2022، أدى مشروع Akutar بسبب ثغرة في منطق العقد إلى قفل 1.15万ETH( بقيمة حوالي 3400万美元). السبب الرئيسي هو تصميم دالة الاسترداد بشكل غير صحيح، حيث لم يتم اعتبار حالة تقديم المستخدمين لعطاءات متعددة.
حدث XCarnival
في 24 يونيو 2022، تعرض بروتوكول إقراض NFT XCarnival لهجوم، مما أدى إلى خسارة 3087 ETH(، أي حوالي 3.8 مليون دولار). كانت الثغرة في وجود عيوب في منطق الرهن والإقراض، حيث لم يتم التحقق بشكل كافٍ من حالة الضمانات والإقراض.
مشاكل الأمان الشائعة في عقود NFT
عيوب آلية التوقيع: تشمل مشكلة إعادة استخدام التوقيع وانتحال الشخصية.
ثغرات منطقية: مثل التحكم غير المناسب في كمية العملة، وثغرات المزايدة، إلخ.
هجمات إعادة الدخول ERC721/ERC1155: قد تؤدي إشعارات التحويل إلى إعادة الدخول.
نطاق التفويض واسع للغاية: التفويض العالمي غير الضروري يزيد من مخاطر سرقة الأصول.
تلاعب الأسعار: الاعتماد على مصادر بيانات خارجية قد يؤدي إلى تصفية غير طبيعية.
تظهر هذه المشكلات بشكل متكرر في الهجمات الفعلية، مما يبرز أهمية إجراء تدقيق أمني شامل لمشاريع NFT. يجب على المطورين إيلاء اهتمام خاص لأمان العقود، ودعوة المؤسسات المتخصصة لإجراء التدقيق، من أجل تجنب المخاطر المحتملة.