NFT Sözleşme Güvenliği: 2022 Yılı İlk Yarı Olay İncelemesi ve Yaygın Sorun Analizi
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça yaşandı ve büyük ekonomik kayıplara neden oldu. Veri platformlarının istatistiklerine göre, bu dönemde toplam 10 büyük NFT güvenlik olayı gerçekleşti ve yaklaşık 6490 milyon dolar kayıp verildi. Saldırı yöntemleri arasında sözleşme açıklarının kullanılması, özel anahtar sızıntıları ve oltalama gibi yöntemler yer alıyor. Özellikle Discord platformundaki oltalama saldırıları oldukça yaygındı; neredeyse her gün sunucular saldırıya uğruyor ve bu da kullanıcıların sık sık kayıplar yaşamasına sebep oluyor.
Tipik Güvenlik Olayları İncelemesi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Sebebi, sözleşmede bir mantık açığı olması ve ERC-1155 ile ERC-721 token'larının ayrıştırılmamasıydı; bu durum, saldırganların NFT'leri sıfır maliyetle satın almasına neden oldu.
APE Coin airdrop olayı
17 Mart 2022'de, bir hacker, flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, airdrop sözleşmesinin yalnızca kullanıcının mevcut NFT sahiplik durumunu kontrol etmesinde, flash kredinin getirebileceği anlık durum değişikliklerini göz önünde bulundurmamasındaydı.
Revest Finance olayı
27 Mart 2022, Revest Finance saldırıya uğradı ve 120.000 dolar kaybetti. Nedeni, ERC-1155 token'ının yeniden giriş açığıydı; sözleşme yeni NFT'ler basarken yeterli kontrol yapmadı.
NBA projesi olayı
21 Nisan 2022'de, NBA ile ilgili NFT projeleri saldırıya uğradı. Sorun, imza doğrulama mekanizmasındaydı; imza taklidi ve yeniden kullanma riski bulunmaktaydı.
Akutar olayı
23 Nisan 2022'de, Akutar projesinin sözleşme mantığı açığı nedeniyle 1.15 milyon ETH( yaklaşık 34 milyon dolar) kilitlendi. Ana sebep, geri ödeme fonksiyonunun yanlış tasarlanması ve kullanıcıların birden fazla teklif vermesi durumunun göz önünde bulundurulmamasıydı.
XCarnival olayı
24 Haziran 2022'de, NFT borç verme protokolü XCarnival saldırıya uğradı, 3087 ETH( yaklaşık 3.8 milyon dolar) kaybedildi. Açık, teminat ve borç durumu üzerinde yeterli doğrulama yapılmaması nedeniyle teminat ve borç verme mantığında bir hata bulunmaktaydı.
NFT Sözleşmelerinde Yaygın Güvenlik Sorunları
İmza mekanizması eksiklikleri: imza yeniden kullanımı ve sahtecilik sorunlarını içerir.
Mantık Hatası: Örneğin, madeni para miktarının yanlış kontrolü, açık artırma hataları vb.
ERC721/ERC1155 yeniden giriş saldırısı: Transfer bildiriminde yeniden giriş tetiklenebilir.
Fiyat manipülasyonu: Dış veri kaynaklarına bağımlılık anormal tasfiyelere yol açabilir.
Bu sorunlar, gerçek saldırılarda sıkça görülmektedir ve NFT projelerinin kapsamlı güvenlik denetimleri yapmasının önemini vurgulamaktadır. Geliştiriciler, sözleşme güvenliğine önem vermeli ve potansiyel riskleri önlemek için profesyonel kuruluşları denetim yapmaya davet etmelidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
NFT sözleşme güvenliği uyarısı: 2022'nin ilk yarısında 64,90 milyon dolar kayıp ve yaygın açıkların analizi
NFT Sözleşme Güvenliği: 2022 Yılı İlk Yarı Olay İncelemesi ve Yaygın Sorun Analizi
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça yaşandı ve büyük ekonomik kayıplara neden oldu. Veri platformlarının istatistiklerine göre, bu dönemde toplam 10 büyük NFT güvenlik olayı gerçekleşti ve yaklaşık 6490 milyon dolar kayıp verildi. Saldırı yöntemleri arasında sözleşme açıklarının kullanılması, özel anahtar sızıntıları ve oltalama gibi yöntemler yer alıyor. Özellikle Discord platformundaki oltalama saldırıları oldukça yaygındı; neredeyse her gün sunucular saldırıya uğruyor ve bu da kullanıcıların sık sık kayıplar yaşamasına sebep oluyor.
Tipik Güvenlik Olayları İncelemesi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Sebebi, sözleşmede bir mantık açığı olması ve ERC-1155 ile ERC-721 token'larının ayrıştırılmamasıydı; bu durum, saldırganların NFT'leri sıfır maliyetle satın almasına neden oldu.
APE Coin airdrop olayı
17 Mart 2022'de, bir hacker, flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, airdrop sözleşmesinin yalnızca kullanıcının mevcut NFT sahiplik durumunu kontrol etmesinde, flash kredinin getirebileceği anlık durum değişikliklerini göz önünde bulundurmamasındaydı.
Revest Finance olayı
27 Mart 2022, Revest Finance saldırıya uğradı ve 120.000 dolar kaybetti. Nedeni, ERC-1155 token'ının yeniden giriş açığıydı; sözleşme yeni NFT'ler basarken yeterli kontrol yapmadı.
NBA projesi olayı
21 Nisan 2022'de, NBA ile ilgili NFT projeleri saldırıya uğradı. Sorun, imza doğrulama mekanizmasındaydı; imza taklidi ve yeniden kullanma riski bulunmaktaydı.
Akutar olayı
23 Nisan 2022'de, Akutar projesinin sözleşme mantığı açığı nedeniyle 1.15 milyon ETH( yaklaşık 34 milyon dolar) kilitlendi. Ana sebep, geri ödeme fonksiyonunun yanlış tasarlanması ve kullanıcıların birden fazla teklif vermesi durumunun göz önünde bulundurulmamasıydı.
XCarnival olayı
24 Haziran 2022'de, NFT borç verme protokolü XCarnival saldırıya uğradı, 3087 ETH( yaklaşık 3.8 milyon dolar) kaybedildi. Açık, teminat ve borç durumu üzerinde yeterli doğrulama yapılmaması nedeniyle teminat ve borç verme mantığında bir hata bulunmaktaydı.
NFT Sözleşmelerinde Yaygın Güvenlik Sorunları
İmza mekanizması eksiklikleri: imza yeniden kullanımı ve sahtecilik sorunlarını içerir.
Mantık Hatası: Örneğin, madeni para miktarının yanlış kontrolü, açık artırma hataları vb.
ERC721/ERC1155 yeniden giriş saldırısı: Transfer bildiriminde yeniden giriş tetiklenebilir.
Yetki kapsamı çok geniş: Gereksiz küresel yetkiler, varlıkların çalınma riskini artırır.
Fiyat manipülasyonu: Dış veri kaynaklarına bağımlılık anormal tasfiyelere yol açabilir.
Bu sorunlar, gerçek saldırılarda sıkça görülmektedir ve NFT projelerinin kapsamlı güvenlik denetimleri yapmasının önemini vurgulamaktadır. Geliştiriciler, sözleşme güvenliğine önem vermeli ve potansiyel riskleri önlemek için profesyonel kuruluşları denetim yapmaya davet etmelidir.