أمان عقود NFT: مراجعة الأحداث في النصف الأول من 2022 ونقاط التدقيق
في النصف الأول من عام 2022، كانت هناك أحداث أمان متكررة في مجال NFT، مما أدى إلى خسائر ضخمة. وفقًا لمنصة أمان بلوك تشين معينة، حدثت 10 أحداث أمان رئيسية تتعلق بـ NFT في النصف الأول من العام، مع خسائر إجمالية تقدر بحوالي 6490 مليون دولار. تشمل طرق الهجوم بشكل رئيسي استغلال ثغرات العقود، تسرب المفاتيح الخاصة، وهجمات التصيد. من بين ذلك، كانت هجمات التصيد على منصة Discord متفشية بشكل خاص، حيث كانت تتعرض الخوادم للهجوم تقريبًا كل يوم، مما أدى إلى فقدان أصول المستخدمين.
مراجعة الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس، تعرضت منصة TreasureDAO للتداول لهجوم هاكر، وتم سرقة أكثر من 100 NFT. كانت الثغرة ناتجة عن خطأ منطقي في دالة buyItem لعقد TreasureMarketplaceBuyer، حيث لم يتم التحقق من نوع الرمز قبل حساب السعر، مما أدى إلى إمكانية شراء NFT بسعر 0 رمز. وهذا يعكس مشكلة الارتباك المنطقي الناتجة عن استخدام رموز ERC-1155 و ERC-721 بشكل مختلط.
حدث توزيع عملة APE
في 17 مارس، استخدم المتسللون قرضًا فوريًا للحصول على أكثر من 60,000 قطعة من APE Coin كإسقاط. كانت الثغرة موجودة في عقد إسقاط AirdropGrapesToken، الذي كان يعتمد فقط على balanceOf() لتحديد ملكية NFT، في حين أن هذه الطريقة يمكن التلاعب بها من خلال القرض الفوري.
فعالية Revest Finance
في 27 مارس، تعرضت Revest Finance لهجوم أدى إلى خسارة 120 ألف دولار. السبب هو وجود ثغرة إعادة دخول في عقد Revest، حيث لم يتم معالجة منطق صك FNFT بشكل صحيح.
حدث NBA لقص الصوف
في 21 أبريل، تعرض مشروع NBA لهجوم من قبل قراصنة. كانت هناك مشكلة في انتحال الهوية وإعادة استخدام التوقيع أثناء التحقق من العقد في قائمة الانتظار، حيث لم يتم تخزين والتحقق من التوقيع المستخدم.
حدث أكوتار
في 23 أبريل، أدى خلل في عقد AkuAuction لمشروع Akutar إلى قفل 11500 ETH( بقيمة حوالي 3400万美元). هناك ثغرتان منطقيتان رئيسيتان: يمكن مقاطعة دالة رد الأموال بشكل ضار، ولم تؤخذ في الاعتبار حالة تقديم المستخدمين للعطاءات عدة مرات.
حدث XCarnival
في 24 يونيو، تم استهداف بروتوكول الإقراض XCarnival مما أدى إلى خسارة حوالي 3.8 مليون دولار. لم يقم دالة pledgeAndBorrow في عقد XNFT بالتحقق الفعال من عنوان xToken وحالة سجلات الضمان.
الأسئلة الشائعة حول تدقيق عقود NFT
انتحال التوقيع وإعادة استخدامه:
نقص التحقق من التنفيذ المتكرر، مثل nonce المستخدم
فحص التوقيع غير صارم، مثل عدم فحص العنوان الصفري
ثغرة منطقية:
حد كمية العملة المعدنية غير مناسب
عملية المزاد تعتمد على ترتيب المعاملات
هجوم إعادة الدخول على ERC721/ERC1155:
قد تؤدي وظيفة إشعار التحويل إلى إعادة الإدخال
نطاق التفويض كبير جدًا:
يتطلب تفويضًا مفرطًا، مما يزيد من خطر سرقة الأصول
التحكم في الأسعار:
سعر NFT يعتمد على بيانات خارجية يمكن التلاعب بها
نظرًا لتكرار حوادث أمان عقود NFT والخسائر الكبيرة الناتجة عنها، ينبغي على فرق المشاريع أن تولي أهمية لتدقيق أمان العقود، والبحث عن شركات أمان محترفة لإجراء فحص شامل، من أجل تقليل المخاطر الأمنية.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 18
أعجبني
18
9
إعادة النشر
مشاركة
تعليق
0/400
PessimisticOracle
· 07-08 18:02
فقدنا فقط 6000w دولار أمريكي
شاهد النسخة الأصليةرد0
LayerZeroHero
· 07-07 22:54
لقد ظهرت بالفعل مشاكل في التدقيق، بيانات السلسلة لن تكذب.
شاهد النسخة الأصليةرد0
BoredRiceBall
· 07-06 22:23
حمقى يخسرون مثل الزيت المغلي في المقلاة
شاهد النسخة الأصليةرد0
ThesisInvestor
· 07-06 15:15
هذا غير معقول، انظر إلى كل واحد منهم
شاهد النسخة الأصليةرد0
ClassicDumpster
· 07-06 15:14
又有حمقى被خداع الناس لتحقيق الربح咯
شاهد النسخة الأصليةرد0
MidnightSeller
· 07-06 15:10
يُستغل بغباء. ما زال مستمراً.
شاهد النسخة الأصليةرد0
MEVHunterX
· 07-06 14:52
اللعب هو اللعب، المهم ألا تخسر المال، فريق المشروع حقاً مخادع.
تكرار المخاطر الأمنية لعقود NFT، خسائر قدرها 6490 مليون دولار أمريكي في النصف الأول من عام 2022
أمان عقود NFT: مراجعة الأحداث في النصف الأول من 2022 ونقاط التدقيق
في النصف الأول من عام 2022، كانت هناك أحداث أمان متكررة في مجال NFT، مما أدى إلى خسائر ضخمة. وفقًا لمنصة أمان بلوك تشين معينة، حدثت 10 أحداث أمان رئيسية تتعلق بـ NFT في النصف الأول من العام، مع خسائر إجمالية تقدر بحوالي 6490 مليون دولار. تشمل طرق الهجوم بشكل رئيسي استغلال ثغرات العقود، تسرب المفاتيح الخاصة، وهجمات التصيد. من بين ذلك، كانت هجمات التصيد على منصة Discord متفشية بشكل خاص، حيث كانت تتعرض الخوادم للهجوم تقريبًا كل يوم، مما أدى إلى فقدان أصول المستخدمين.
مراجعة الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس، تعرضت منصة TreasureDAO للتداول لهجوم هاكر، وتم سرقة أكثر من 100 NFT. كانت الثغرة ناتجة عن خطأ منطقي في دالة buyItem لعقد TreasureMarketplaceBuyer، حيث لم يتم التحقق من نوع الرمز قبل حساب السعر، مما أدى إلى إمكانية شراء NFT بسعر 0 رمز. وهذا يعكس مشكلة الارتباك المنطقي الناتجة عن استخدام رموز ERC-1155 و ERC-721 بشكل مختلط.
حدث توزيع عملة APE
في 17 مارس، استخدم المتسللون قرضًا فوريًا للحصول على أكثر من 60,000 قطعة من APE Coin كإسقاط. كانت الثغرة موجودة في عقد إسقاط AirdropGrapesToken، الذي كان يعتمد فقط على balanceOf() لتحديد ملكية NFT، في حين أن هذه الطريقة يمكن التلاعب بها من خلال القرض الفوري.
فعالية Revest Finance
في 27 مارس، تعرضت Revest Finance لهجوم أدى إلى خسارة 120 ألف دولار. السبب هو وجود ثغرة إعادة دخول في عقد Revest، حيث لم يتم معالجة منطق صك FNFT بشكل صحيح.
حدث NBA لقص الصوف
في 21 أبريل، تعرض مشروع NBA لهجوم من قبل قراصنة. كانت هناك مشكلة في انتحال الهوية وإعادة استخدام التوقيع أثناء التحقق من العقد في قائمة الانتظار، حيث لم يتم تخزين والتحقق من التوقيع المستخدم.
حدث أكوتار
في 23 أبريل، أدى خلل في عقد AkuAuction لمشروع Akutar إلى قفل 11500 ETH( بقيمة حوالي 3400万美元). هناك ثغرتان منطقيتان رئيسيتان: يمكن مقاطعة دالة رد الأموال بشكل ضار، ولم تؤخذ في الاعتبار حالة تقديم المستخدمين للعطاءات عدة مرات.
حدث XCarnival
في 24 يونيو، تم استهداف بروتوكول الإقراض XCarnival مما أدى إلى خسارة حوالي 3.8 مليون دولار. لم يقم دالة pledgeAndBorrow في عقد XNFT بالتحقق الفعال من عنوان xToken وحالة سجلات الضمان.
الأسئلة الشائعة حول تدقيق عقود NFT
انتحال التوقيع وإعادة استخدامه:
ثغرة منطقية:
هجوم إعادة الدخول على ERC721/ERC1155:
نطاق التفويض كبير جدًا:
التحكم في الأسعار:
نظرًا لتكرار حوادث أمان عقود NFT والخسائر الكبيرة الناتجة عنها، ينبغي على فرق المشاريع أن تولي أهمية لتدقيق أمان العقود، والبحث عن شركات أمان محترفة لإجراء فحص شامل، من أجل تقليل المخاطر الأمنية.