Безпека NFT-контрактів: огляд подій першої половини 2022 року та аналіз поширених проблем
У першій половині 2022 року в сфері NFT часто відбувалися інциденти безпеки, що завдали величезних економічних збитків. За даними статистичних платформ, у цей період сталося 10 основних інцидентів безпеки NFT, які завдали збитків приблизно в 6490 мільйонів доларів США. Основними методами атак були експлуатація вразливостей контрактів, витік приватних ключів та фішинг тощо. Зокрема, фішинг-атаки на платформі Discord були особливо розповсюджені, практично щодня сервери зазнавали атак, що призводило до частих збитків для користувачів.
Огляд типов безпекових інцидентів
Подія ### TreasureDAO
3 березня 2022 року платформа торгівлі TreasureDAO зазнала хакерської атаки, в результаті якої було вкрадено понад 100 NFT. Причиною стала логічна вразливість контракту, яка не розрізняла токени ERC-1155 та ERC-721, що дозволило зловмисникам купувати NFT безкоштовно.
Подія аеродропу APE Coin
17 березня 2022 року, хакери використали кредит на миттєвий займ, щоб отримати понад 60 000 монет APE Coin у вигляді аеродропу. Уразливість полягала в тому, що контракт аеродропу перевіряв лише поточний стан володіння NFT користувача, не враховуючи миттєві зміни стану, які можуть виникнути через кредит на миттєвий займ.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнала атаки, внаслідок чого втратила 120 000 доларів США. Причиною стала вразливість повторного входу токена ERC-1155, контракт не провів належну перевірку під час випуску нового NFT.
подія проекту NBA
21 квітня 2022 року, пов'язаний з НБА NFT проект зазнав атаки. Проблема полягала в механізмі верифікації підписів, існувала небезпека підробки та повторного використання підписів.
Подія Akutar
23 квітня 2022 року, проект Akutar через логічну вразливість контракту призвів до блокування 11,5 тисяч ETH(, що становить близько 34 мільйонів доларів). Основна причина - неналежне проектування функції повернення коштів, яка не враховувала ситуацію з багаторазовими ставками користувачів.
Подія XCarnival
24 червня 2022 року, протокол кредитування NFT XCarnival зазнав атаки, внаслідок чого було втрачено 3087 ETH( приблизно 380 тисяч доларів США). Уразливість полягала в дефектах логіки застави та кредитування, які не забезпечили достатню перевірку застави та стану кредиту.
Загальні проблеми безпеки NFT-контрактів
Недоліки механізму підпису: включаючи проблеми повторного використання підпису та підробки.
Логічні вразливості: такі як неналежний контроль за обсягом випуску монет, вразливості в аукціонах тощо.
ERC721/ERC1155 повторний напад: може викликати повторний вхід у повідомленнях про переказ.
Занадто широкий обсяг повноважень: непотрібні глобальні повноваження збільшують ризик крадіжки активів.
Маніпуляція цінами: залежність від зовнішніх джерел даних може призвести до аномальних ліквідацій.
Ці проблеми не є рідкістю під час реальних атак, що підкреслює важливість проведення всебічного аудиту безпеки для NFT проектів. Розробники повинні приділяти увагу безпеці контрактів, запрошуючи професійні організації для проведення аудиту, щоб запобігти потенційним ризикам.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
5
Поділіться
Прокоментувати
0/400
GateUser-ccc36bc5
· 6год тому
Виявляється, хакери всі пастки зрозуміли.
Переглянути оригіналвідповісти на0
LiquidityWizard
· 6год тому
Ой, контракт, виявляється, не розрізняє 721 і 1155.
Безпека NFT-контрактів: аналіз втрат у 64,9 мільйона доларів США та поширених вразливостей у першій половині 2022 року
Безпека NFT-контрактів: огляд подій першої половини 2022 року та аналіз поширених проблем
У першій половині 2022 року в сфері NFT часто відбувалися інциденти безпеки, що завдали величезних економічних збитків. За даними статистичних платформ, у цей період сталося 10 основних інцидентів безпеки NFT, які завдали збитків приблизно в 6490 мільйонів доларів США. Основними методами атак були експлуатація вразливостей контрактів, витік приватних ключів та фішинг тощо. Зокрема, фішинг-атаки на платформі Discord були особливо розповсюджені, практично щодня сервери зазнавали атак, що призводило до частих збитків для користувачів.
Огляд типов безпекових інцидентів
Подія ### TreasureDAO
3 березня 2022 року платформа торгівлі TreasureDAO зазнала хакерської атаки, в результаті якої було вкрадено понад 100 NFT. Причиною стала логічна вразливість контракту, яка не розрізняла токени ERC-1155 та ERC-721, що дозволило зловмисникам купувати NFT безкоштовно.
Подія аеродропу APE Coin
17 березня 2022 року, хакери використали кредит на миттєвий займ, щоб отримати понад 60 000 монет APE Coin у вигляді аеродропу. Уразливість полягала в тому, що контракт аеродропу перевіряв лише поточний стан володіння NFT користувача, не враховуючи миттєві зміни стану, які можуть виникнути через кредит на миттєвий займ.
Захід Revest Finance
27 березня 2022 року Revest Finance зазнала атаки, внаслідок чого втратила 120 000 доларів США. Причиною стала вразливість повторного входу токена ERC-1155, контракт не провів належну перевірку під час випуску нового NFT.
подія проекту NBA
21 квітня 2022 року, пов'язаний з НБА NFT проект зазнав атаки. Проблема полягала в механізмі верифікації підписів, існувала небезпека підробки та повторного використання підписів.
Подія Akutar
23 квітня 2022 року, проект Akutar через логічну вразливість контракту призвів до блокування 11,5 тисяч ETH(, що становить близько 34 мільйонів доларів). Основна причина - неналежне проектування функції повернення коштів, яка не враховувала ситуацію з багаторазовими ставками користувачів.
Подія XCarnival
24 червня 2022 року, протокол кредитування NFT XCarnival зазнав атаки, внаслідок чого було втрачено 3087 ETH( приблизно 380 тисяч доларів США). Уразливість полягала в дефектах логіки застави та кредитування, які не забезпечили достатню перевірку застави та стану кредиту.
Загальні проблеми безпеки NFT-контрактів
Недоліки механізму підпису: включаючи проблеми повторного використання підпису та підробки.
Логічні вразливості: такі як неналежний контроль за обсягом випуску монет, вразливості в аукціонах тощо.
ERC721/ERC1155 повторний напад: може викликати повторний вхід у повідомленнях про переказ.
Занадто широкий обсяг повноважень: непотрібні глобальні повноваження збільшують ризик крадіжки активів.
Маніпуляція цінами: залежність від зовнішніх джерел даних може призвести до аномальних ліквідацій.
Ці проблеми не є рідкістю під час реальних атак, що підкреслює важливість проведення всебічного аудиту безпеки для NFT проектів. Розробники повинні приділяти увагу безпеці контрактів, запрошуючи професійні організації для проведення аудиту, щоб запобігти потенційним ризикам.