Анализ распространенных проблем в аудите безопасности NFT-контрактов
В первой половине 2022 года в области NFT произошло несколько инцидентов безопасности, которые привели к потерям около 64,9 миллиона долларов. Основные методы атак включали использование уязвимостей контрактов, утечку приватных ключей и фишинг. Эти инциденты подчеркивают важность аудита безопасности контрактов NFT.
Обзор типичных инцидентов безопасности
Событие TreasureDAO: из-за логической уязвимости, вызванной смешиванием токенов ERC-1155 и ERC-721, злоумышленник смог купить NFT, заплатив 0 токенов.
Событие раздачи APE Coin: Контракт раздачи использовал мгновенное состояние, которое может быть управляемо через флеш-кредиты, для определения прав собственности на NFT, что позволило атакующим занять NFT и получить раздачу.
Событие Revest Finance: уязвимость повторного входа ERC-1155 позволила злоумышленникам многократно чеканить FNFT, в результате чего убытки составили около 120000 долларов.
Инцидент с NBA проектом: В контракте существует проблема подделки и повторного использования подписи, что позволяет злоумышленникам повторно использовать или подделывать подписи.
Событие Akutar: логическая ошибка в контракте привела к блокировке активов на сумму около 34 миллионов долларов, основной причиной стало невключение в рассмотрение ситуации, когда пользователи могут делать ставки на несколько NFT.
Событие XCarnival: Логическая уязвимость в контракте позволила злоумышленникам многократно использовать недействительные записи залога для заимствования, что привело к убыткам около 3,8 миллиона долларов.
Часто задаваемые вопросы по аудиту контрактов NFT
Подделка и повторное использование подписей
Отсутствует проверка на повторное выполнение, например, nonce пользователя
Проверка подписи необоснованна, если не проверяется ситуация с нулевым адресом подписавшего
Логическая уязвимость
Администратор может обойти ограничение общего объема для выпуска монет
В процессе аукциона существует риск атак с зависимостью от порядка сделок
Реентерация атак ERC721/ERC1155
Использование функции уведомления о переводе может привести к атаке повторного входа
Слишком широкий объем полномочий
Требуется глобальное разрешение, а не разрешение для отдельного токена, что увеличивает риск кражи NFT.
Манипуляция ценами
Цена NFT зависит от внешних факторов, которые могут быть контролируемыми, таких как количество токенов в обращении
Эти проблемы часто возникают в реальных атаках, подчеркивая необходимость профессионального аудита безопасности. Команды проектов должны уделять внимание безопасности контрактов и обращаться к профессиональным организациям для проведения комплексного аудита, чтобы снизить риски безопасности.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
19 Лайков
Награда
19
6
Поделиться
комментарий
0/400
SchrodingersFOMO
· 07-17 14:07
Смертный пароль именно так и теряется.
Посмотреть ОригиналОтветить0
ForumMiningMaster
· 07-14 15:37
Цыц, снова урок в крови о том, как проекты были украдены.
Посмотреть ОригиналОтветить0
GweiWatcher
· 07-14 15:37
Снова потерял деньги, убытки довольно крупные.
Посмотреть ОригиналОтветить0
ProposalDetective
· 07-14 15:34
6490w так грустно
Посмотреть ОригиналОтветить0
screenshot_gains
· 07-14 15:28
Сколько раз уже говорилось, что пора Мошенничество?
Посмотреть ОригиналОтветить0
DefiPlaybook
· 07-14 15:15
Выжить невозможно, я слишком хорошо понимаю безопасность контрактов.
Аудит NFT-контрактов: 6 основных уязвимостей и анализ инцидентов безопасности
Анализ распространенных проблем в аудите безопасности NFT-контрактов
В первой половине 2022 года в области NFT произошло несколько инцидентов безопасности, которые привели к потерям около 64,9 миллиона долларов. Основные методы атак включали использование уязвимостей контрактов, утечку приватных ключей и фишинг. Эти инциденты подчеркивают важность аудита безопасности контрактов NFT.
Обзор типичных инцидентов безопасности
Событие TreasureDAO: из-за логической уязвимости, вызванной смешиванием токенов ERC-1155 и ERC-721, злоумышленник смог купить NFT, заплатив 0 токенов.
Событие раздачи APE Coin: Контракт раздачи использовал мгновенное состояние, которое может быть управляемо через флеш-кредиты, для определения прав собственности на NFT, что позволило атакующим занять NFT и получить раздачу.
Событие Revest Finance: уязвимость повторного входа ERC-1155 позволила злоумышленникам многократно чеканить FNFT, в результате чего убытки составили около 120000 долларов.
Инцидент с NBA проектом: В контракте существует проблема подделки и повторного использования подписи, что позволяет злоумышленникам повторно использовать или подделывать подписи.
Событие Akutar: логическая ошибка в контракте привела к блокировке активов на сумму около 34 миллионов долларов, основной причиной стало невключение в рассмотрение ситуации, когда пользователи могут делать ставки на несколько NFT.
Событие XCarnival: Логическая уязвимость в контракте позволила злоумышленникам многократно использовать недействительные записи залога для заимствования, что привело к убыткам около 3,8 миллиона долларов.
Часто задаваемые вопросы по аудиту контрактов NFT
Подделка и повторное использование подписей
Логическая уязвимость
Реентерация атак ERC721/ERC1155
Слишком широкий объем полномочий
Манипуляция ценами
Эти проблемы часто возникают в реальных атаках, подчеркивая необходимость профессионального аудита безопасности. Команды проектов должны уделять внимание безопасности контрактов и обращаться к профессиональным организациям для проведения комплексного аудита, чтобы снизить риски безопасности.