Отчет по анализу безопасности NFT-контрактов: распространенные проблемы и типичные случаи
В первой половине 2022 года в области NFT произошло несколько крупных инцидентов безопасности, общие убытки составили около 64,9 миллиона долларов. Эти инциденты были в основном вызваны уязвимостями в контрактах, утечкой приватных ключей и фишинговыми атаками. Следует отметить, что фишинговые атаки на платформе Discord происходят почти каждый день, что приводит к частым потерям для отдельных пользователей.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта платформа обмена TreasureDAO была атакована, в результате чего было украдено более 100 NFT. Основной причиной этого инцидента стала логическая путаница, вызванная смешиванием токенов ERC-1155 и ERC-721. Контракт не различал типы токенов и ошибочно применял концепцию количества, не подходящую для расчета цены ERC-721.
Событие аirdrop APE Coin
17 марта хакер использовал флеш-займ для получения более 60 000 монет APE Coin в рамках аирдропа. Уязвимость заключалась в смарт-контракте аирдропа, который проверял только мгновенное право собственности пользователя на NFT, что можно было легко манипулировать с помощью флеш-займа.
Событие Revest Finance
27 марта Revest Finance подвергся атаке, в результате которой был потерян около 120 000 долларов США. Это типичный случай атаки повторного входа ERC-1155. Контракт не провел достаточную проверку при создании новых FNFT, что привело к возникновению уязвимости повторного входа.
NBA хайп-мероприятие
21 апреля проект NBA подвергся атаке. Проблема заключалась в механизме проверки подписи в белом списке, существовали две основные проблемы: подделка и повторное использование подписей. Контракт не хранил использованные подписи и не проводил строгую проверку подписчиков.
Событие Akutar
23 апреля проект Akutar из-за уязвимости в контракте заблокировал активы на сумму 34 миллиона долларов. Основные проблемы включают логический дефект функции возврата и отсутствие учета множественных заявок пользователей.
событие XCarnival
24 июня XCarnival подвергся атаке, убытки составили около 3,8 миллиона долларов. Нападающий использовал логическую уязвимость контракта в процессе залога NFT и кредитования, повторно использовав недействительные записи залога для получения кредита.
Распространенные проблемы безопасности с NFT-контрактами
Подделка и повторное использование подписей: отсутствие проверки повторного выполнения и проверки действительности подписанта.
Логические уязвимости: например, обход ограничения общего объема монет администратором, зависимость порядка транзакций в процессе аукциона от атак и т. д.
Атака повторного входа ERC721/ERC1155: может возникать при использовании функции уведомления о переводе.
Чрезмерный объем полномочий: пользователям требуется предоставить чрезмерные полномочия в некоторых операциях.
Манипуляция ценами: Цены на NFT зависят от внешних факторов и могут подвергаться манипуляциям, таким как флеш-кредиты.
Эти проблемы часто возникают при реальных атаках, подчеркивая важность профессионального аудита безопасности. Команды проекта должны уделять внимание безопасности контрактов и обращаться к профессиональным командам для проведения комплексного аудита, чтобы избежать потенциальных рисков.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
6 Лайков
Награда
6
4
Поделиться
комментарий
0/400
xSm2
· 08-04 20:59
APE Не дам(?) проектов. На самом деле, я верю, что это так на глазах у всех, мы закатим глаза в (инвестировании) в ближайшее время.
Все еще есть проекты с нфт и APE в частности.
время* Фильм
Посмотреть ОригиналОтветить0
MEVHunterWang
· 08-04 15:04
Кто сможет выдержать эту волну, разыгрывайте людей как лохов, действительно сожгли почти одну маленькую цель.
Посмотреть ОригиналОтветить0
StablecoinGuardian
· 08-04 15:03
Смотрите, смотрите, еще один токсичный проект обречен.
В первой половине 2022 года часто происходили инциденты с безопасностью NFT, уязвимости в контрактах стали основным риском.
Отчет по анализу безопасности NFT-контрактов: распространенные проблемы и типичные случаи
В первой половине 2022 года в области NFT произошло несколько крупных инцидентов безопасности, общие убытки составили около 64,9 миллиона долларов. Эти инциденты были в основном вызваны уязвимостями в контрактах, утечкой приватных ключей и фишинговыми атаками. Следует отметить, что фишинговые атаки на платформе Discord происходят почти каждый день, что приводит к частым потерям для отдельных пользователей.
Анализ типичных инцидентов безопасности
Событие TreasureDAO
3 марта платформа обмена TreasureDAO была атакована, в результате чего было украдено более 100 NFT. Основной причиной этого инцидента стала логическая путаница, вызванная смешиванием токенов ERC-1155 и ERC-721. Контракт не различал типы токенов и ошибочно применял концепцию количества, не подходящую для расчета цены ERC-721.
Событие аirdrop APE Coin
17 марта хакер использовал флеш-займ для получения более 60 000 монет APE Coin в рамках аирдропа. Уязвимость заключалась в смарт-контракте аирдропа, который проверял только мгновенное право собственности пользователя на NFT, что можно было легко манипулировать с помощью флеш-займа.
Событие Revest Finance
27 марта Revest Finance подвергся атаке, в результате которой был потерян около 120 000 долларов США. Это типичный случай атаки повторного входа ERC-1155. Контракт не провел достаточную проверку при создании новых FNFT, что привело к возникновению уязвимости повторного входа.
NBA хайп-мероприятие
21 апреля проект NBA подвергся атаке. Проблема заключалась в механизме проверки подписи в белом списке, существовали две основные проблемы: подделка и повторное использование подписей. Контракт не хранил использованные подписи и не проводил строгую проверку подписчиков.
Событие Akutar
23 апреля проект Akutar из-за уязвимости в контракте заблокировал активы на сумму 34 миллиона долларов. Основные проблемы включают логический дефект функции возврата и отсутствие учета множественных заявок пользователей.
событие XCarnival
24 июня XCarnival подвергся атаке, убытки составили около 3,8 миллиона долларов. Нападающий использовал логическую уязвимость контракта в процессе залога NFT и кредитования, повторно использовав недействительные записи залога для получения кредита.
Распространенные проблемы безопасности с NFT-контрактами
Подделка и повторное использование подписей: отсутствие проверки повторного выполнения и проверки действительности подписанта.
Логические уязвимости: например, обход ограничения общего объема монет администратором, зависимость порядка транзакций в процессе аукциона от атак и т. д.
Атака повторного входа ERC721/ERC1155: может возникать при использовании функции уведомления о переводе.
Чрезмерный объем полномочий: пользователям требуется предоставить чрезмерные полномочия в некоторых операциях.
Манипуляция ценами: Цены на NFT зависят от внешних факторов и могут подвергаться манипуляциям, таким как флеш-кредиты.
Эти проблемы часто возникают при реальных атаках, подчеркивая важность профессионального аудита безопасности. Команды проекта должны уделять внимание безопасности контрактов и обращаться к профессиональным командам для проведения комплексного аудита, чтобы избежать потенциальных рисков.
Не дам(?) проектов.
На самом деле, я верю, что это так на глазах у всех, мы закатим глаза в (инвестировании) в ближайшее время.
Все еще есть проекты с нфт и APE в частности.
время* Фильм