Безопасность NFT контрактов: Обзор событий первой половины 2022 года и анализ распространенных вопросов
В первой половине 2022 года в области NFT произошло множество инцидентов, связанных с безопасностью, что привело к огромным экономическим потерям. Согласно статистическим данным платформы, в этот период произошло 10 основных инцидентов безопасности NFT, общие потери составили около 6490 миллионов долларов. Основные методы атак включали использование уязвимостей контрактов, утечку приватных ключей и фишинг. Особенно широко распространились фишинговые атаки на платформе Discord, где почти ежедневно серверы подвергались атакам, в результате чего пользователи часто несли убытки.
Обзор типичных инцидентов безопасности
Событие TreasureDAO
3 марта 2022 года платформа TreasureDAO подверглась хакерской атаке, в результате которой было украдено более 100 NFT. Причиной стало наличие логической уязвимости в контракте, которая не различала токены ERC-1155 и ERC-721, что позволило злоумышленникам приобрести NFT без затрат.
Событие раздачи монет APE Coin
17 марта 2022 года хакеры использовали флеш-кредиты, чтобы получить более 60 000 APE Coin в рамках аирдропа. Уязвимость заключалась в том, что контракт аирдропа проверял только текущее состояние владения NFT пользователем, не учитывая мгновенные изменения состояния, которые могут возникнуть из-за флеш-кредита.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся атаке, в результате которой был потерян 120 000 долларов США. Причиной стала уязвимость повторного входа в токены ERC-1155, так как контракт не проводил достаточную проверку при создании нового NFT.
NBA проект событие
21 апреля 2022 года проект NFT, связанный с НБА, был атакован. Проблема заключалась в механизме проверки подписи, существовал риск использования и повторного использования подписей.
Событие Akutar
23 апреля 2022 года проект Akutar столкнулся с логической уязвимостью в контракте, что привело к блокировке 11,5 тысяч ETH(, что составляет около 34 миллионов долларов США). Основная причина заключается в неправильном проектировании функции возврата, которая не учитывала ситуацию с многократными ставками пользователей.
Событие XCarnival
24 июня 2022 года, протокол кредитования NFT XCarnival был атакован, понесенные убытки составили 3087 ETH( около 3,8 миллиона долларов). Уязвимость заключалась в недостатках логики залога и кредитования, не было проведено достаточной проверки обеспечения и состояния займа.
Распространенные проблемы безопасности смарт-контрактов NFT
Дефекты механизма подписи: включая проблемы с повторным использованием подписи и подделкой.
Логические уязвимости: например, неправильный контроль за объемом эмиссии, уязвимости в аукционе и т.д.
Реентерация атак ERC721/ERC1155: может возникнуть реентерация в уведомлении о переводе.
Манипуляции с ценами: зависимость от внешних источников данных может привести к аномальным расчетам.
Эти проблемы часто встречаются в реальных атаках, подчеркивая важность проведения комплексного аудита безопасности для проектов NFT. Разработчики должны обращать внимание на безопасность контрактов и приглашать профессиональные организации для проведения аудита, чтобы предотвратить потенциальные риски.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
5
Поделиться
комментарий
0/400
GateUser-ccc36bc5
· 11ч назад
Оказывается, Хакеры все ловушки понимают.
Посмотреть ОригиналОтветить0
LiquidityWizard
· 11ч назад
Ой, контракт, оказывается, не различает 721 и 1155.
Безопасность контрактов NFT: анализ потерь в 64,9 миллиона долларов в первой половине 2022 года и распространенные уязвимости
Безопасность NFT контрактов: Обзор событий первой половины 2022 года и анализ распространенных вопросов
В первой половине 2022 года в области NFT произошло множество инцидентов, связанных с безопасностью, что привело к огромным экономическим потерям. Согласно статистическим данным платформы, в этот период произошло 10 основных инцидентов безопасности NFT, общие потери составили около 6490 миллионов долларов. Основные методы атак включали использование уязвимостей контрактов, утечку приватных ключей и фишинг. Особенно широко распространились фишинговые атаки на платформе Discord, где почти ежедневно серверы подвергались атакам, в результате чего пользователи часто несли убытки.
Обзор типичных инцидентов безопасности
Событие TreasureDAO
3 марта 2022 года платформа TreasureDAO подверглась хакерской атаке, в результате которой было украдено более 100 NFT. Причиной стало наличие логической уязвимости в контракте, которая не различала токены ERC-1155 и ERC-721, что позволило злоумышленникам приобрести NFT без затрат.
Событие раздачи монет APE Coin
17 марта 2022 года хакеры использовали флеш-кредиты, чтобы получить более 60 000 APE Coin в рамках аирдропа. Уязвимость заключалась в том, что контракт аирдропа проверял только текущее состояние владения NFT пользователем, не учитывая мгновенные изменения состояния, которые могут возникнуть из-за флеш-кредита.
Событие Revest Finance
27 марта 2022 года Revest Finance подвергся атаке, в результате которой был потерян 120 000 долларов США. Причиной стала уязвимость повторного входа в токены ERC-1155, так как контракт не проводил достаточную проверку при создании нового NFT.
NBA проект событие
21 апреля 2022 года проект NFT, связанный с НБА, был атакован. Проблема заключалась в механизме проверки подписи, существовал риск использования и повторного использования подписей.
Событие Akutar
23 апреля 2022 года проект Akutar столкнулся с логической уязвимостью в контракте, что привело к блокировке 11,5 тысяч ETH(, что составляет около 34 миллионов долларов США). Основная причина заключается в неправильном проектировании функции возврата, которая не учитывала ситуацию с многократными ставками пользователей.
Событие XCarnival
24 июня 2022 года, протокол кредитования NFT XCarnival был атакован, понесенные убытки составили 3087 ETH( около 3,8 миллиона долларов). Уязвимость заключалась в недостатках логики залога и кредитования, не было проведено достаточной проверки обеспечения и состояния займа.
Распространенные проблемы безопасности смарт-контрактов NFT
Дефекты механизма подписи: включая проблемы с повторным использованием подписи и подделкой.
Логические уязвимости: например, неправильный контроль за объемом эмиссии, уязвимости в аукционе и т.д.
Реентерация атак ERC721/ERC1155: может возникнуть реентерация в уведомлении о переводе.
Чрезмерный объем полномочий: ненужные глобальные полномочия увеличивают риск кражи активов.
Манипуляции с ценами: зависимость от внешних источников данных может привести к аномальным расчетам.
Эти проблемы часто встречаются в реальных атаках, подчеркивая важность проведения комплексного аудита безопасности для проектов NFT. Разработчики должны обращать внимание на безопасность контрактов и приглашать профессиональные организации для проведения аудита, чтобы предотвратить потенциальные риски.