NFT sözleşmesi güvenlik denetimindeki yaygın sorunların analizi
2022 yılının ilk yarısında, NFT alanında birçok güvenlik olayı meydana geldi ve yaklaşık 64.90 milyon dolar kayba neden oldu. Ana saldırı yöntemleri arasında sözleşme açıklarının kullanımı, özel anahtar sızıntısı ve oltalama gibi yöntemler bulunmaktadır. Bu olaylar, NFT sözleşme güvenlik denetiminin önemini vurgulamaktadır.
Tipik Güvenlik Olayları İncelemesi
TreasureDAO olayı: ERC-1155 ve ERC-721 tokenlerinin karışık kullanımından kaynaklanan mantık açığı nedeniyle, saldırganlar 0 token ödeyerek NFT satın alabilmektedir.
APE Coin airdrop olayı: Airdrop sözleşmesi, NFT sahipliğini belirlemek için flash kredi ile manipüle edilebilen anlık durumu kullandı, bu da saldırganların NFT'yi ödünç almasına ve airdrop'u almasına olanak tanıdı.
Revest Finance olayı: ERC-1155 yeniden giriş açığı, saldırganların FNFT'leri tekrar tekrar basmasına olanak tanıdı ve yaklaşık 120.000 dolar kayba yol açtı.
NBA projesinde fırsatçılık olayı: Sözleşmedeki imza doğrulama, kötüye kullanım ve tekrar kullanma sorunları içeriyor, bu da saldırganların imzayı tekrar kullanmasına veya kötüye kullanılmasına olanak tanıyor.
Akutar olayı: Sözleşme mantığı hatası, yaklaşık 34 milyon dolar değerinde varlığın kilitlenmesine neden oldu. Bunun başlıca sebebi, kullanıcıların birden fazla NFT teklif edebileceği durumunun dikkate alınmaması.
XCarnival olayı: Sözleşmedeki mantık açığı, saldırganların geçersiz teminat kayıtlarını defalarca kullanarak borç almasına izin verdi ve yaklaşık 3.8 milyon dolarlık kayba neden oldu.
NFT Sözleşmesi Denetimindeki Yaygın Sorunlar
İmza taklidi ve yeniden kullanma
Kullanıcı nonce'u gibi tekrar eden yürütme doğrulaması eksik
İmza kontrolü mantıksız, imza atan kişinin sıfır adresi olup olmadığını kontrol etmemişse
Mantık Açığı
Yöneticiler, toplam miktar kısıtlamasını atlayarak madeni para basabilir.
Müzayede sürecinde işlem sırası bağımlılığı saldırı riski vardır.
ERC721/ERC1155 yeniden giriş saldırısı
Transfer bildirim işlevini kullanırken tekrar giriş saldırısına neden olabilir.
Yetki alanı çok geniş
Tekil token yetkisi yerine küresel yetki talep etmek, NFT'nin çalınma riskini artırır.
Fiyat manipülasyonu
NFT fiyatı, token sahipliği gibi manipüle edilebilen dış faktörlere bağımlıdır.
Bu sorunlar gerçek saldırılarda sıkça ortaya çıkmakta ve profesyonel güvenlik denetiminin gerekliliğini vurgulamaktadır. Proje ekipleri, sözleşme güvenliğine önem vermeli ve güvenlik risklerini azaltmak için profesyonel kuruluşlardan kapsamlı denetim talep etmelidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
19 Likes
Reward
19
6
Share
Comment
0/400
SchrodingersFOMO
· 07-17 14:07
Ölüm şifresi işte böyle kaybolur.
View OriginalReply0
ForumMiningMaster
· 07-14 15:37
Tsk tsk, yine bir projenin çalındığı kanlı bir ders.
View OriginalReply0
GweiWatcher
· 07-14 15:37
Yine kaybettim. Zarar biraz fazla oldu.
View OriginalReply0
ProposalDetective
· 07-14 15:34
6490w gerçekten kötü
View OriginalReply0
screenshot_gains
· 07-14 15:28
Kaç kere söyledim, artık Rug Pull yapma zamanı.
View OriginalReply0
DefiPlaybook
· 07-14 15:15
Hayatta kalmak mümkün değil, ben sözleşme güvenliğini çok iyi biliyorum.
NFT akıllı sözleşme denetimi: 6 büyük tehlikeli açık ve güvenlik olayı analizi
NFT sözleşmesi güvenlik denetimindeki yaygın sorunların analizi
2022 yılının ilk yarısında, NFT alanında birçok güvenlik olayı meydana geldi ve yaklaşık 64.90 milyon dolar kayba neden oldu. Ana saldırı yöntemleri arasında sözleşme açıklarının kullanımı, özel anahtar sızıntısı ve oltalama gibi yöntemler bulunmaktadır. Bu olaylar, NFT sözleşme güvenlik denetiminin önemini vurgulamaktadır.
Tipik Güvenlik Olayları İncelemesi
TreasureDAO olayı: ERC-1155 ve ERC-721 tokenlerinin karışık kullanımından kaynaklanan mantık açığı nedeniyle, saldırganlar 0 token ödeyerek NFT satın alabilmektedir.
APE Coin airdrop olayı: Airdrop sözleşmesi, NFT sahipliğini belirlemek için flash kredi ile manipüle edilebilen anlık durumu kullandı, bu da saldırganların NFT'yi ödünç almasına ve airdrop'u almasına olanak tanıdı.
Revest Finance olayı: ERC-1155 yeniden giriş açığı, saldırganların FNFT'leri tekrar tekrar basmasına olanak tanıdı ve yaklaşık 120.000 dolar kayba yol açtı.
NBA projesinde fırsatçılık olayı: Sözleşmedeki imza doğrulama, kötüye kullanım ve tekrar kullanma sorunları içeriyor, bu da saldırganların imzayı tekrar kullanmasına veya kötüye kullanılmasına olanak tanıyor.
Akutar olayı: Sözleşme mantığı hatası, yaklaşık 34 milyon dolar değerinde varlığın kilitlenmesine neden oldu. Bunun başlıca sebebi, kullanıcıların birden fazla NFT teklif edebileceği durumunun dikkate alınmaması.
XCarnival olayı: Sözleşmedeki mantık açığı, saldırganların geçersiz teminat kayıtlarını defalarca kullanarak borç almasına izin verdi ve yaklaşık 3.8 milyon dolarlık kayba neden oldu.
NFT Sözleşmesi Denetimindeki Yaygın Sorunlar
İmza taklidi ve yeniden kullanma
Mantık Açığı
ERC721/ERC1155 yeniden giriş saldırısı
Yetki alanı çok geniş
Fiyat manipülasyonu
Bu sorunlar gerçek saldırılarda sıkça ortaya çıkmakta ve profesyonel güvenlik denetiminin gerekliliğini vurgulamaktadır. Proje ekipleri, sözleşme güvenliğine önem vermeli ve güvenlik risklerini azaltmak için profesyonel kuruluşlardan kapsamlı denetim talep etmelidir.