Безпека NFT-контрактів: огляд подій першої половини 2022 року та ключові моменти аудиту
У першій половині 2022 року в сфері NFT сталося багато інцидентів безпеки, що спричинило величезні економічні втрати. За статистикою, у цей період сталося 10 значних інцидентів безпеки NFT, загальні втрати склали близько 6490 мільйонів доларів США. Ці інциденти в основному пов’язані з експлуатацією вразливостей контрактів, витоком приватних ключів та фішинг-атаками. Варто зазначити, що фішинг-атаки на платформі Discord особливо розповсюджені, майже щодня користувачі зазнають збитків через натискання на шкідливі посилання.
Аналіз типових інцидентів безпеки
Подія TreasureDAO (3 березня 2022 року)
Втрата: понад 100 NFT вкрадено
Причина: логічна уразливість контракту, змішування токенів ERC-1155 та ERC-721 призвело до помилки в оцінці.
Подія airdrop APE Coin (17 березня 2022 року)
Втрата: хакери отримали понад 60 000 APE Coin аероздачі
Причина: логічна уразливість контракту, неправильна перевірка прав власності на NFT
Подія Revest Finance (27 березня 2022 року)
Втрата: приблизно 120 000 доларів США
Причина: вразливість повторного входу ERC-1155
Інцидент з отриманням вигоди від проекту НБА (21 квітня 2022 року)
Причина: проблема підробки та повторного використання підписів
Подія Akutar (23 квітня 2022 року)
Збитки: 11539ETH (близько 3400 мільйонів доларів США) заблоковані в контракті
Причина: логічна вразливість контракту, неналежний дизайн функції повернення
Подія XCarnival (24 червня 2022 року)
Втрата: 3087 ефірів (близько 380 тисяч доларів США)
Причина: логічна уразливість контракту, недоліки в процесах стейкінгу та позики
Поширені запитання щодо аудиту контрактів NFT
Підробка підпису та повторне використання
Немає повторної перевірки виконання
Перевірка підпису є нерозумною
Логічна вразливість
Неправильне контролювання загальної кількості монет
Порядок торгівлі під час аукціонного процесу залежить від атаки
Атака повторного входу ERC721/ERC1155
Функція сповіщення про переказ може призвести до повторного входу
Занадто великий обсяг повноважень
Непотрібні повні повноваження збільшують ризики безпеки
Маніпуляція цінами
Ціна NFT може бути використана у зв'язку з зовнішніми факторами
Ці безпекові інциденти та проблеми з аудитом підкреслюють численні ризики проектів NFT у процесі проектування та реалізації контрактів. Щоб запобігти повторенню подібних інцидентів, команди проектів повинні приділяти увагу безпеці смарт-контрактів та шукати послуги аудиту у професійних безпекових команд. Лише через всебічний та суворий аудит безпеки можна максимально забезпечити безпечну експлуатацію проектів NFT та захистити права користувачів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
4
Репост
Поділіться
Прокоментувати
0/400
OffchainOracle
· 08-11 23:51
dc занадто поганий, вивчиш і чекай, поки будеш їсти невдах.
Переглянути оригіналвідповісти на0
SpeakWithHatOn
· 08-10 15:46
Обман для дурнів обдурювати людей, як лохів
Переглянути оригіналвідповісти на0
FarmHopper
· 08-10 15:41
знову обдерли невдах
Переглянути оригіналвідповісти на0
JustAnotherWallet
· 08-10 15:41
ринок NFT справді занадто дикий? Все це гроші невдах, будьте обережні.
Безпека NFT-контрактів: 10 значних подій з втратами 64,9 мільйона доларів у першій половині 2022 року
Безпека NFT-контрактів: огляд подій першої половини 2022 року та ключові моменти аудиту
У першій половині 2022 року в сфері NFT сталося багато інцидентів безпеки, що спричинило величезні економічні втрати. За статистикою, у цей період сталося 10 значних інцидентів безпеки NFT, загальні втрати склали близько 6490 мільйонів доларів США. Ці інциденти в основному пов’язані з експлуатацією вразливостей контрактів, витоком приватних ключів та фішинг-атаками. Варто зазначити, що фішинг-атаки на платформі Discord особливо розповсюджені, майже щодня користувачі зазнають збитків через натискання на шкідливі посилання.
Аналіз типових інцидентів безпеки
Подія TreasureDAO (3 березня 2022 року)
Подія airdrop APE Coin (17 березня 2022 року)
Подія Revest Finance (27 березня 2022 року)
Інцидент з отриманням вигоди від проекту НБА (21 квітня 2022 року)
Подія Akutar (23 квітня 2022 року)
Подія XCarnival (24 червня 2022 року)
Поширені запитання щодо аудиту контрактів NFT
Підробка підпису та повторне використання
Логічна вразливість
Атака повторного входу ERC721/ERC1155
Занадто великий обсяг повноважень
Маніпуляція цінами
Ці безпекові інциденти та проблеми з аудитом підкреслюють численні ризики проектів NFT у процесі проектування та реалізації контрактів. Щоб запобігти повторенню подібних інцидентів, команди проектів повинні приділяти увагу безпеці смарт-контрактів та шукати послуги аудиту у професійних безпекових команд. Лише через всебічний та суворий аудит безпеки можна максимально забезпечити безпечну експлуатацію проектів NFT та захистити права користувачів.