أمان عقد NFT: مراجعة الأحداث في النصف الأول من عام 2022 وتحليل الأسئلة الشائعة حول التدقيق
في النصف الأول من عام 2022، تكررت حوادث الأمن في مجال NFT، مما تسبب في خسائر اقتصادية هائلة. وفقًا لمراقبة منصة البيانات، حدثت 10 حوادث أمنية رئيسية، مع خسائر تقارب 6490 مليون دولار. كانت طرق الهجوم الرئيسية تشمل استغلال الثغرات في العقود، تسرب المفاتيح الخاصة، والتصيد الاحتيالي. في الوقت نفسه، تحدث حوادث التصيد على Discord تقريبًا كل يوم، ويتعرض المستخدمون الأفراد بشكل متكرر للخسائر.
استعراض الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO للاختراق، وتم سرقة أكثر من 100 NFT. نشأ الثغرة من منطق دالة buyItem في عقد TreasureMarketplaceBuyer، حيث لم يتم التحقق من نوع الرمز مباشرةً قبل حساب السعر، مما أدى إلى إمكانية شراء NFT باستخدام 0 من رموز ERC-20. وهذا يعكس المشاكل المنطقية التي قد تنشأ عند استخدام رموز ERC-1155 وERC-721 معًا.
حدث توزيع APE Coin
في 17 مارس 2022، حصل القراصنة على أكثر من 60,000 APE Coin من خلال القرض الفوري. عقد AirdropGrapesToken الخاص بالإيردروب يعتمد فقط على balanceOf() لتحديد ملكية NFT، وهذه الطريقة سهلة التحكم فيها بواسطة القرض الفوري.
فعالية Revest Finance
في 27 مارس 2022، تعرضت Revest Finance للاختراق، مما أدى إلى خسارة قدرها 120,000 دولار أمريكي. كان مصدر الثغرة هو هجوم إعادة الدخول على ERC-1155، حيث لم يتم التحقق من وجود FNFT الجديد أثناء صكه، وزادت متغيرات الحالة بعد _mint()، مما أدى إلى ثغرة إعادة الدخول.
حدث استغلال NBA
في 21 أبريل 2022، تعرض مشروع NBA للهجوم. كان هناك مشكلة في انتحال الهوية وإعادة استخدام التوقيع في عقد The_Association_Sales عند التحقق من قائمة التحقق، حيث لم يتم تخزين التوقيع المستخدم ولم يتم التحقق من msg.sender عند تمرير المعلمات.
حدث أكوتار
في 23 أبريل 2022، أدى ثغرة عقد AkuAuction لمشروع Akutar إلى قفل 11,500 ETH. توجد مشكلتان منطقيتان رئيسيتان: يمكن أن يتم قطع دالة الاسترداد بشكل ضار؛ ولم يتم أخذ حالة تقديم العطاءات المتكررة من قبل المستخدمين في الاعتبار مما أدى إلى عدم إمكانية تنفيذ الاسترداد.
حدث XCarnival
في 24 يونيو 2022، تعرض XCarnival لهجوم أدى إلى خسارة 3087 ETH. لم يتحقق عقد XNFT من عنوان xToken عند رهن NFT، ولم يتم فحص حالة سجل الضمان عند الاقتراض، مما سمح للمهاجمين باستخدام الضمانات غير الصالحة مرارًا وتكرارًا.
أسئلة شائعة حول تدقيق عقود NFT
انتحال التوقيع وإعادة استخدامه: نقص في التحقق من التنفيذ المتكرر; فحص التوقيع غير منطقي.
ثغرة منطقية: يمكن للمسؤول تجاوز حد الكمية المسموح بها لسك العملات; يوجد هجوم يعتمد على ترتيب المعاملات أثناء المزاد.
هجوم إعادة الدخول على ERC721/ERC1155: قد يؤدي استخدام وظيفة إشعار التحويل إلى إعادة الدخول.
نطاق التفويض كبير جداً: يتطلب تفويضاً عالمياً بدلاً من تفويض رمز واحد، مما يزيد من مخاطر سرقة NFT.
التحكم في الأسعار: تعتمد أسعار NFT على كمية الرموز المحتفظ بها في عقد معين، ويمكن التلاعب بها من خلال القروض الفورية.
بشكل عام، تعكس الحوادث الأمنية لعقود NFT أهمية التدقيق الأمني المهني. يجب على فرق المشاريع أن تولي اهتمامًا لسلامة العقود، وأن تسعى للحصول على تدقيق مهني لتجنب المخاطر المحتملة.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 14
أعجبني
14
6
إعادة النشر
مشاركة
تعليق
0/400
CommunitySlacker
· منذ 8 س
من المدهش أن ثغرات العقود يمكن أن تدر كل هذه الأرباح.
شاهد النسخة الأصليةرد0
OnChainDetective
· منذ 8 س
يوم آخر، هاك آخر... تحليل الأنماط يشير إلى أن 90% بسبب أخطاء أساسية في العقود، سمح.
تكرار ثغرات عقود NFT ، خسائر بقيمة 6490 مليون دولار في النصف الأول من عام 2022
أمان عقد NFT: مراجعة الأحداث في النصف الأول من عام 2022 وتحليل الأسئلة الشائعة حول التدقيق
في النصف الأول من عام 2022، تكررت حوادث الأمن في مجال NFT، مما تسبب في خسائر اقتصادية هائلة. وفقًا لمراقبة منصة البيانات، حدثت 10 حوادث أمنية رئيسية، مع خسائر تقارب 6490 مليون دولار. كانت طرق الهجوم الرئيسية تشمل استغلال الثغرات في العقود، تسرب المفاتيح الخاصة، والتصيد الاحتيالي. في الوقت نفسه، تحدث حوادث التصيد على Discord تقريبًا كل يوم، ويتعرض المستخدمون الأفراد بشكل متكرر للخسائر.
استعراض الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO للاختراق، وتم سرقة أكثر من 100 NFT. نشأ الثغرة من منطق دالة buyItem في عقد TreasureMarketplaceBuyer، حيث لم يتم التحقق من نوع الرمز مباشرةً قبل حساب السعر، مما أدى إلى إمكانية شراء NFT باستخدام 0 من رموز ERC-20. وهذا يعكس المشاكل المنطقية التي قد تنشأ عند استخدام رموز ERC-1155 وERC-721 معًا.
حدث توزيع APE Coin
في 17 مارس 2022، حصل القراصنة على أكثر من 60,000 APE Coin من خلال القرض الفوري. عقد AirdropGrapesToken الخاص بالإيردروب يعتمد فقط على balanceOf() لتحديد ملكية NFT، وهذه الطريقة سهلة التحكم فيها بواسطة القرض الفوري.
فعالية Revest Finance
في 27 مارس 2022، تعرضت Revest Finance للاختراق، مما أدى إلى خسارة قدرها 120,000 دولار أمريكي. كان مصدر الثغرة هو هجوم إعادة الدخول على ERC-1155، حيث لم يتم التحقق من وجود FNFT الجديد أثناء صكه، وزادت متغيرات الحالة بعد _mint()، مما أدى إلى ثغرة إعادة الدخول.
حدث استغلال NBA
في 21 أبريل 2022، تعرض مشروع NBA للهجوم. كان هناك مشكلة في انتحال الهوية وإعادة استخدام التوقيع في عقد The_Association_Sales عند التحقق من قائمة التحقق، حيث لم يتم تخزين التوقيع المستخدم ولم يتم التحقق من msg.sender عند تمرير المعلمات.
حدث أكوتار
في 23 أبريل 2022، أدى ثغرة عقد AkuAuction لمشروع Akutar إلى قفل 11,500 ETH. توجد مشكلتان منطقيتان رئيسيتان: يمكن أن يتم قطع دالة الاسترداد بشكل ضار؛ ولم يتم أخذ حالة تقديم العطاءات المتكررة من قبل المستخدمين في الاعتبار مما أدى إلى عدم إمكانية تنفيذ الاسترداد.
حدث XCarnival
في 24 يونيو 2022، تعرض XCarnival لهجوم أدى إلى خسارة 3087 ETH. لم يتحقق عقد XNFT من عنوان xToken عند رهن NFT، ولم يتم فحص حالة سجل الضمان عند الاقتراض، مما سمح للمهاجمين باستخدام الضمانات غير الصالحة مرارًا وتكرارًا.
أسئلة شائعة حول تدقيق عقود NFT
انتحال التوقيع وإعادة استخدامه: نقص في التحقق من التنفيذ المتكرر; فحص التوقيع غير منطقي.
ثغرة منطقية: يمكن للمسؤول تجاوز حد الكمية المسموح بها لسك العملات; يوجد هجوم يعتمد على ترتيب المعاملات أثناء المزاد.
هجوم إعادة الدخول على ERC721/ERC1155: قد يؤدي استخدام وظيفة إشعار التحويل إلى إعادة الدخول.
نطاق التفويض كبير جداً: يتطلب تفويضاً عالمياً بدلاً من تفويض رمز واحد، مما يزيد من مخاطر سرقة NFT.
التحكم في الأسعار: تعتمد أسعار NFT على كمية الرموز المحتفظ بها في عقد معين، ويمكن التلاعب بها من خلال القروض الفورية.
بشكل عام، تعكس الحوادث الأمنية لعقود NFT أهمية التدقيق الأمني المهني. يجب على فرق المشاريع أن تولي اهتمامًا لسلامة العقود، وأن تسعى للحصول على تدقيق مهني لتجنب المخاطر المحتملة.