NFT Sözleşme Güvenliği: 2022 İlk Yarısı Olay İncelemesi ve Denetim Yaygın Sorular Analizi
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve büyük ekonomik kayıplara neden oldu. Veri platformunun izlemelerine göre, toplamda 10 ana güvenlik olayı gerçekleşti ve yaklaşık 6490 milyon dolar kayıp yaşandı. Saldırı yöntemleri genellikle sözleşme açıklarından yararlanma, özel anahtar sızıntısı ve kimlik avı gibi yöntemleri içeriyordu. Bu arada, Discord kimlik avı olayları neredeyse her gün yaşanıyor ve bireysel kullanıcılar sıkça kayıplar yaşıyor.
Tipik Güvenlik Olayları İncelemesi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu bir hacker saldırısına uğradı, 100'den fazla NFT çalındı. Açık, TreasureMarketplaceBuyer sözleşmesinin buyItem fonksiyonunun karmaşık mantığından kaynaklanıyordu; token türünü kontrol etmeden fiyatı doğrudan hesapladı, bu da 0 ERC-20 token ile NFT satın alınmasına olanak tanıdı. Bu, ERC-1155 ve ERC-721 tokenlarının karıştırılması durumunda ortaya çıkabilecek mantık sorunlarını yansıtmaktadır.
APE Coin airdrop olayı
17 Mart 2022, hacker'lar flash kredi kullanarak 60,000'den fazla APE Coin airdrop'u aldı. AirdropGrapesToken airdrop sözleşmesi yalnızca balanceOf() ile NFT mülkiyetini belirliyor ve bu yöntem flash kredi ile manipüle edilmesi kolay.
Revest Finance olayı
27 Mart 2022'de, Revest Finance saldırıya uğradı ve 120.000 $ kaybetti. Açığın kaynağı ERC-1155 yeniden giriş saldırısıdır, sözleşme yeni FNFT mint ederken var olup olmadığını kontrol etmemiştir ve durum değişkeninin _mint()'den sonra artması, yeniden giriş açığına yol açmıştır.
NBA koyun yünü olayı
21 Nisan 2022, NBA projesi saldırıya uğradı. The_Association_Sales sözleşmesinde doğrulama beyaz listesindeki imza sahtekarlığı ve yeniden kullanımı sorunları mevcut, kullanılan imzalar saklanmadı ve parametre geçerken msg.sender kontrol edilmedi.
Akutar olayı
23 Nisan 2022'de, Akutar projesinin AkuAuction sözleşmesindeki bir açık nedeniyle 11,5 bin ETH kilitlendi. İki ana mantıksal sorun var: İade fonksiyonu kötü niyetli bir şekilde kesilebilir; Kullanıcının birden fazla kez teklif vermesi durumu göz önünde bulundurulmadığı için iade gerçekleştirilemez.
XCarnival olayı
24 Haziran 2022'de, XCarnival saldırıya uğradı ve 3087 ETH kaybetti. XNFT sözleşmesi, NFT'leri teminat olarak yatırırken xToken adresini kontrol etmedi ve borç alırken teminat kayıt durumunu kontrol etmedi, bu da saldırganların geçersiz teminatı tekrar tekrar kullanarak borç almasına neden oldu.
NFT Sözleşmesi Denetiminde Sıkça Sorulan Sorular
İmza kötüye kullanımı ve yeniden kullanımı: Tekrar yürütme doğrulaması eksik; imza kontrolü mantıksız.
Mantıksal açıklar: Yöneticiler toplam arz kısıtlamasını aşabilir; açık artırma sırasında işlem sırası bağımlılığı saldırısı vardır.
ERC721/ERC1155 yeniden giriş saldırısı: Transfer bildirim işlevi kullanıldığında yeniden girmeye neden olabilir.
Yetki kapsamı çok geniş: tek bir token yetkisi yerine küresel yetki talep edilmesi, NFT'nin çalınma riskini artırır.
Fiyat Manipülasyonu: NFT fiyatı, belirli bir sözleşme token miktarına bağlıdır ve anlık kredi ile manipüle edilebilir.
Genel olarak, NFT sözleşmeleri ile ilgili güvenlik olaylarının sık yaşanması, profesyonel güvenlik denetiminin önemini yansıtmaktadır. Proje sahipleri, sözleşme güvenliğine önem vermeli ve potansiyel riskleri önlemek için profesyonel denetim talep etmelidir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 Likes
Reward
14
6
Repost
Share
Comment
0/400
CommunitySlacker
· 8h ago
Sözleşme açıkları gerçekten bu kadar çok avantaj sağlıyor.
View OriginalReply0
OnChainDetective
· 8h ago
bir gün daha, bir hack daha... desen analizi, %90'ının temel sözleşme ihmalinden kaynaklandığını öne sürüyor, yazık.
View OriginalReply0
NotFinancialAdviser
· 8h ago
Neredeyse pantolonumu kaybediyordum, dikkatli yatırım yapın.
View OriginalReply0
RebaseVictim
· 8h ago
Blok Zinciri emiciler tarafından oyuna getirilen büyük yatırımcılar, paranın peşinden NFT'ye koşmalılar.
View OriginalReply0
ImpermanentLossFan
· 8h ago
Altmış milyon dolar ah bir kez daha kazandık, berbat.
NFT sözleşme açıkları sıkça meydana geliyor, 2022 yılının ilk yarısında 64.90 milyon dolar kayıp yaşandı.
NFT Sözleşme Güvenliği: 2022 İlk Yarısı Olay İncelemesi ve Denetim Yaygın Sorular Analizi
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve büyük ekonomik kayıplara neden oldu. Veri platformunun izlemelerine göre, toplamda 10 ana güvenlik olayı gerçekleşti ve yaklaşık 6490 milyon dolar kayıp yaşandı. Saldırı yöntemleri genellikle sözleşme açıklarından yararlanma, özel anahtar sızıntısı ve kimlik avı gibi yöntemleri içeriyordu. Bu arada, Discord kimlik avı olayları neredeyse her gün yaşanıyor ve bireysel kullanıcılar sıkça kayıplar yaşıyor.
Tipik Güvenlik Olayları İncelemesi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu bir hacker saldırısına uğradı, 100'den fazla NFT çalındı. Açık, TreasureMarketplaceBuyer sözleşmesinin buyItem fonksiyonunun karmaşık mantığından kaynaklanıyordu; token türünü kontrol etmeden fiyatı doğrudan hesapladı, bu da 0 ERC-20 token ile NFT satın alınmasına olanak tanıdı. Bu, ERC-1155 ve ERC-721 tokenlarının karıştırılması durumunda ortaya çıkabilecek mantık sorunlarını yansıtmaktadır.
APE Coin airdrop olayı
17 Mart 2022, hacker'lar flash kredi kullanarak 60,000'den fazla APE Coin airdrop'u aldı. AirdropGrapesToken airdrop sözleşmesi yalnızca balanceOf() ile NFT mülkiyetini belirliyor ve bu yöntem flash kredi ile manipüle edilmesi kolay.
Revest Finance olayı
27 Mart 2022'de, Revest Finance saldırıya uğradı ve 120.000 $ kaybetti. Açığın kaynağı ERC-1155 yeniden giriş saldırısıdır, sözleşme yeni FNFT mint ederken var olup olmadığını kontrol etmemiştir ve durum değişkeninin _mint()'den sonra artması, yeniden giriş açığına yol açmıştır.
NBA koyun yünü olayı
21 Nisan 2022, NBA projesi saldırıya uğradı. The_Association_Sales sözleşmesinde doğrulama beyaz listesindeki imza sahtekarlığı ve yeniden kullanımı sorunları mevcut, kullanılan imzalar saklanmadı ve parametre geçerken msg.sender kontrol edilmedi.
Akutar olayı
23 Nisan 2022'de, Akutar projesinin AkuAuction sözleşmesindeki bir açık nedeniyle 11,5 bin ETH kilitlendi. İki ana mantıksal sorun var: İade fonksiyonu kötü niyetli bir şekilde kesilebilir; Kullanıcının birden fazla kez teklif vermesi durumu göz önünde bulundurulmadığı için iade gerçekleştirilemez.
XCarnival olayı
24 Haziran 2022'de, XCarnival saldırıya uğradı ve 3087 ETH kaybetti. XNFT sözleşmesi, NFT'leri teminat olarak yatırırken xToken adresini kontrol etmedi ve borç alırken teminat kayıt durumunu kontrol etmedi, bu da saldırganların geçersiz teminatı tekrar tekrar kullanarak borç almasına neden oldu.
NFT Sözleşmesi Denetiminde Sıkça Sorulan Sorular
İmza kötüye kullanımı ve yeniden kullanımı: Tekrar yürütme doğrulaması eksik; imza kontrolü mantıksız.
Mantıksal açıklar: Yöneticiler toplam arz kısıtlamasını aşabilir; açık artırma sırasında işlem sırası bağımlılığı saldırısı vardır.
ERC721/ERC1155 yeniden giriş saldırısı: Transfer bildirim işlevi kullanıldığında yeniden girmeye neden olabilir.
Yetki kapsamı çok geniş: tek bir token yetkisi yerine küresel yetki talep edilmesi, NFT'nin çalınma riskini artırır.
Fiyat Manipülasyonu: NFT fiyatı, belirli bir sözleşme token miktarına bağlıdır ve anlık kredi ile manipüle edilebilir.
Genel olarak, NFT sözleşmeleri ile ilgili güvenlik olaylarının sık yaşanması, profesyonel güvenlik denetiminin önemini yansıtmaktadır. Proje sahipleri, sözleşme güvenliğine önem vermeli ve potansiyel riskleri önlemek için profesyonel denetim talep etmelidir.