Аналіз поширених проблем у безпеці аудиту NFT-контрактів
У першій половині 2022 року в галузі NFT сталося кілька випадків безпеки, що призвели до збитків приблизно в 6490 мільйонів доларів. Основні методи атак включали використання уразливостей контрактів, витік приватних ключів та фішинг. Ці події підкреслили важливість аудиту безпеки контрактів NFT.
Огляд типових безпекових інцидентів
Подія TreasureDAO: через логічну вразливість, спричинену змішуванням токенів ERC-1155 та ERC-721, зловмисник зміг придбати NFT, сплативши 0 токенів.
Подія з аірдропом APE Coin: Контракт аірдропу використав миттєвий стан, що може бути контрольований через флеш-кредити, для визначення права власності на NFT, що дозволило зловмисникам позичити NFT та отримати аірдроп.
Подія Revest Finance: Вразливість повторного входу ERC-1155 дозволила зловмисникам повторно карбувати FNFT, що призвело до збитків приблизно в 120 тисяч доларів.
Подія з використанням проекту НБА: у контракті існують проблеми з верифікацією підписів, які дозволяють зловмисникам повторно використовувати або підробляти підписи.
Інцидент Akutar: логічна вразливість контракту призвела до блокування активів на суму приблизно 34 мільйони доларів, головною причиною є те, що не було враховано можливість подання ставок на кілька NFT.
Подія XCarnival: Логічна вразливість в контракті дозволила зловмисникам багаторазово використовувати недійсні записи застави для отримання кредитів, що призвело до збитків приблизно в 3,8 мільйона доларів.
Загальні питання щодо аудиту NFT-контрактів
Підробка підпису та повторне використання
Бракує перевірки на повторне виконання, як-от nonce користувача
Перевірка підпису є нерозумною, якщо не перевірено випадок, коли підписувач є нульовою адресою.
Логічна уразливість
Адміністратор може обійти обмеження на загальну кількість для випуску монет
В процесі аукціону існує ризик атак, що залежать від порядку угод.
Реінвація атаки ERC721/ERC1155
Використання функції сповіщення про перекази може призвести до атаки повторного входу
Занадто великий обсяг повноважень
Вимагає глобального дозволу, а не дозволу на окремий токен, що збільшує ризик крадіжки NFT
Маніпуляція цінами
Ціна NFT залежить від зовнішніх факторів, які можуть бути контрольовані, таких як кількість токенів у власності.
Ці проблеми часто виникають під час реальних атак, що підкреслює необхідність професійного безпекового аудиту. Команда проекту повинна звертати увагу на безпеку контрактів і шукати професійні установи для проведення комплексного аудиту з метою зменшення ризиків безпеки.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
19 лайків
Нагородити
19
6
Поділіться
Прокоментувати
0/400
SchrodingersFOMO
· 07-17 14:07
Смертельний код ніколи не втрачається ось так.
Переглянути оригіналвідповісти на0
ForumMiningMaster
· 07-14 15:37
Цюцюцю, знову урок крові від вкраденого проекту.
Переглянути оригіналвідповісти на0
GweiWatcher
· 07-14 15:37
Знову втратили, збитки дещо серйозні.
Переглянути оригіналвідповісти на0
ProposalDetective
· 07-14 15:34
6490w так сумно
Переглянути оригіналвідповісти на0
screenshot_gains
· 07-14 15:28
Вже скільки разів казали, що вже час для шахрайства.
Переглянути оригіналвідповісти на0
DefiPlaybook
· 07-14 15:15
Не можу вижити, я занадто добре розумію безпеку контрактів.
Аудит NFT-контрактів: 6 основних небезпечних вразливостей та аналіз інцидентів безпеки
Аналіз поширених проблем у безпеці аудиту NFT-контрактів
У першій половині 2022 року в галузі NFT сталося кілька випадків безпеки, що призвели до збитків приблизно в 6490 мільйонів доларів. Основні методи атак включали використання уразливостей контрактів, витік приватних ключів та фішинг. Ці події підкреслили важливість аудиту безпеки контрактів NFT.
Огляд типових безпекових інцидентів
Подія TreasureDAO: через логічну вразливість, спричинену змішуванням токенів ERC-1155 та ERC-721, зловмисник зміг придбати NFT, сплативши 0 токенів.
Подія з аірдропом APE Coin: Контракт аірдропу використав миттєвий стан, що може бути контрольований через флеш-кредити, для визначення права власності на NFT, що дозволило зловмисникам позичити NFT та отримати аірдроп.
Подія Revest Finance: Вразливість повторного входу ERC-1155 дозволила зловмисникам повторно карбувати FNFT, що призвело до збитків приблизно в 120 тисяч доларів.
Подія з використанням проекту НБА: у контракті існують проблеми з верифікацією підписів, які дозволяють зловмисникам повторно використовувати або підробляти підписи.
Інцидент Akutar: логічна вразливість контракту призвела до блокування активів на суму приблизно 34 мільйони доларів, головною причиною є те, що не було враховано можливість подання ставок на кілька NFT.
Подія XCarnival: Логічна вразливість в контракті дозволила зловмисникам багаторазово використовувати недійсні записи застави для отримання кредитів, що призвело до збитків приблизно в 3,8 мільйона доларів.
Загальні питання щодо аудиту NFT-контрактів
Підробка підпису та повторне використання
Логічна уразливість
Реінвація атаки ERC721/ERC1155
Занадто великий обсяг повноважень
Маніпуляція цінами
Ці проблеми часто виникають під час реальних атак, що підкреслює необхідність професійного безпекового аудиту. Команда проекту повинна звертати увагу на безпеку контрактів і шукати професійні установи для проведення комплексного аудиту з метою зменшення ризиків безпеки.