Звіт з аналізу безпеки NFT-контрактів: поширені проблеми та типові випадки
У першій половині 2022 року в сфері NFT сталося кілька重大них безпекових інцидентів, загальні втрати склали близько 6490 мільйонів доларів. Ці події були спричинені в основному експлуатацією вразливостей контрактів, витоками приватних ключів і фішинг-атаками. Варто зазначити, що фішинг-атаки на платформі Discord відбуваються майже щодня, завдаючи особистим користувачам частих втрат.
Аналіз типов безпекових подій
Подія ### TreasureDAO
3 березня платформа торгівлі TreasureDAO зазнала атаки, внаслідок якої було вкрадено понад 100 NFT. Основною причиною цього інциденту стали логічні помилки, викликані змішуванням токенів ERC-1155 та ERC-721. Контракт не розрізняв типи токенів, помилково використовуючи концепцію кількості, що не підходила для ERC-721, для розрахунку ціни.
подія аеродропу APE Coin
17 березня хакер використав блискавичний кредит для отримання понад 60 тисяч монет APE Coin у вигляді аеродропу. Уразливість була в контракті аеродропу, який перевіряв лише миттєве право власності користувача на NFT, що можна було легко маніпулювати за допомогою блискавичного кредиту.
Захід Revest Finance
27 березня Revest Finance зазнала атаки, в результаті якої було втрачено близько 120 тисяч доларів США. Це типовий випадок атаки повторного входу ERC-1155. Контракт не перевірявся належним чином під час випуску нових FNFT, що призвело до виникнення вразливості повторного входу.
NBA хакерська подія
21 квітня проекту NBA було завдано атаки. Проблема полягала в механізмі підписів для перевірки білого списку, де існували дві основні проблеми: підробка та повторне використання підписів. Контракт не зберігав використані підписи і не проводив сувору перевірку підписувачів.
Подія Akutar
23 квітня проект Akutar через вразливість контракту призвів до блокування активів на суму 34 мільйони доларів. Основні проблеми включають логічний дефект функції повернення коштів та неналежне врахування ситуації з багаторазовими ставками користувачів.
Подія XCarnival
24 червня XCarnival зазнав атаки, внаслідок якої було втрачено близько 3,8 мільйона доларів. Зловмисники використали логічну вразливість у контракті під час процесу застави NFT та кредитування, повторно використовуючи недійсні записи застави для отримання кредитів.
Загальні проблеми безпеки контрактів NFT
Підробка та повторне використання підписів: відсутність повторної перевірки виконання та перевірки дійсності підписувача.
Логічні вразливості: наприклад, адміністрація обходить обмеження на загальну кількість монет, порядок транзакцій під час аукціону залежить від атак тощо.
Реінтрентні атаки ERC721/ERC1155: можуть виникнути під час використання функції сповіщення про переказ.
Занадто великий обсяг повноважень: користувачів просять надати надмірні повноваження під час деяких операцій.
Цінова маніпуляція: ціна NFT залежить від зовнішніх факторів і може бути маніпульована, наприклад, за допомогою блискавичних кредитів.
Ці проблеми часто виникають під час реальних атак, підкреслюючи важливість професійного аудиту безпеки. Команди проекту повинні приділяти увагу безпеці контрактів і шукати професійні команди для проведення комплексного аудиту, щоб запобігти потенційним ризикам.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
6 лайків
Нагородити
6
4
Поділіться
Прокоментувати
0/400
xSm2
· 21год тому
APE Це не дам(?) проекти. Насправді, я вірю, що це так на очах у всіх, ми закатимо очі в (інвестуванні) найближчим часом.
Існують ще речі в pipeline з nft і APE зокрема.
фільм* Час
Переглянути оригіналвідповісти на0
MEVHunterWang
· 08-04 15:04
Хто витримає цю хвилю обдурювання людей, як лохів, справді знищив майже одну маленьку мету.
У першій половині 2022 року часто траплялися інциденти з безпекою NFT, вразливості контрактів стали основним ризиком
Звіт з аналізу безпеки NFT-контрактів: поширені проблеми та типові випадки
У першій половині 2022 року в сфері NFT сталося кілька重大них безпекових інцидентів, загальні втрати склали близько 6490 мільйонів доларів. Ці події були спричинені в основному експлуатацією вразливостей контрактів, витоками приватних ключів і фішинг-атаками. Варто зазначити, що фішинг-атаки на платформі Discord відбуваються майже щодня, завдаючи особистим користувачам частих втрат.
Аналіз типов безпекових подій
Подія ### TreasureDAO
3 березня платформа торгівлі TreasureDAO зазнала атаки, внаслідок якої було вкрадено понад 100 NFT. Основною причиною цього інциденту стали логічні помилки, викликані змішуванням токенів ERC-1155 та ERC-721. Контракт не розрізняв типи токенів, помилково використовуючи концепцію кількості, що не підходила для ERC-721, для розрахунку ціни.
подія аеродропу APE Coin
17 березня хакер використав блискавичний кредит для отримання понад 60 тисяч монет APE Coin у вигляді аеродропу. Уразливість була в контракті аеродропу, який перевіряв лише миттєве право власності користувача на NFT, що можна було легко маніпулювати за допомогою блискавичного кредиту.
Захід Revest Finance
27 березня Revest Finance зазнала атаки, в результаті якої було втрачено близько 120 тисяч доларів США. Це типовий випадок атаки повторного входу ERC-1155. Контракт не перевірявся належним чином під час випуску нових FNFT, що призвело до виникнення вразливості повторного входу.
NBA хакерська подія
21 квітня проекту NBA було завдано атаки. Проблема полягала в механізмі підписів для перевірки білого списку, де існували дві основні проблеми: підробка та повторне використання підписів. Контракт не зберігав використані підписи і не проводив сувору перевірку підписувачів.
Подія Akutar
23 квітня проект Akutar через вразливість контракту призвів до блокування активів на суму 34 мільйони доларів. Основні проблеми включають логічний дефект функції повернення коштів та неналежне врахування ситуації з багаторазовими ставками користувачів.
Подія XCarnival
24 червня XCarnival зазнав атаки, внаслідок якої було втрачено близько 3,8 мільйона доларів. Зловмисники використали логічну вразливість у контракті під час процесу застави NFT та кредитування, повторно використовуючи недійсні записи застави для отримання кредитів.
Загальні проблеми безпеки контрактів NFT
Підробка та повторне використання підписів: відсутність повторної перевірки виконання та перевірки дійсності підписувача.
Логічні вразливості: наприклад, адміністрація обходить обмеження на загальну кількість монет, порядок транзакцій під час аукціону залежить від атак тощо.
Реінтрентні атаки ERC721/ERC1155: можуть виникнути під час використання функції сповіщення про переказ.
Занадто великий обсяг повноважень: користувачів просять надати надмірні повноваження під час деяких операцій.
Цінова маніпуляція: ціна NFT залежить від зовнішніх факторів і може бути маніпульована, наприклад, за допомогою блискавичних кредитів.
Ці проблеми часто виникають під час реальних атак, підкреслюючи важливість професійного аудиту безпеки. Команди проекту повинні приділяти увагу безпеці контрактів і шукати професійні команди для проведення комплексного аудиту, щоб запобігти потенційним ризикам.
Це не дам(?) проекти.
Насправді, я вірю, що це так на очах у всіх, ми закатимо очі в (інвестуванні) найближчим часом.
Існують ще речі в pipeline з nft і APE зокрема.
фільм* Час