أمان عقود NFT: تحليل الأحداث في النصف الأول من عام 2022 والأسئلة الشائعة

في النصف الأول من عام 2022، حدثت العديد من الحوادث الأمنية المتعلقة بـ NFT في مجال أمان blockchain، مما أدى إلى خسائر اقتصادية كبيرة. ستقوم هذه المقالة بتحليل متعمق لهذه الحوادث، ومناقشة المشكلات الشائعة في عملية تدقيق عقود NFT.

نظرة عامة على أحداث أمان NFT

وفقًا لبيانات منصة مراقبة أمان blockchain، حدثت 10 حوادث أمان NFT كبيرة في النصف الأول من عام 2022، بإجمالي خسائر تبلغ حوالي 6490 مليون دولار. تشمل أساليب الهجوم الرئيسية استغلال ثغرات العقود، تسرب المفاتيح الخاصة وهجمات التصيد الاحتيالي. من الجدير بالذكر أن هجمات التصيد على منصة Discord تحدث تقريبًا يوميًا، مما يتسبب في خسائر متكررة للمستخدمين الأفراد.

تحليل الحوادث الأمنية النموذجية

حدث TreasureDAO

في 3 مارس 2022، تعرضت منصة TreasureDAO للتداول لهجوم من قراصنة، مما أدى إلى سرقة أكثر من 100 NFT.

سبب الثغرة: منطق العقد غير منظم. لم تقم دالة buyItem في عقد TreasureMarketplaceBuyer بالتحقق من نوع الرمز، بل استخدمت الكمية مضروبة في السعر للوصول إلى السعر الإجمالي، مما أدى إلى إمكانية شراء NFT باستخدام 0 من رموز ERC-20. وهذا ناتج عن الاستخدام المختلط لرموز ERC-1155 و ERC-721 دون معالجة خاصة لرموز 721.

حدث توزيع عملة APE

في 17 مارس 2022، قام هاكر بالحصول على أكثر من 60,000 من عملات APE Coin المجانية من خلال قرض سريع.

سبب الثغرة: عقد الإيجابيات يتحقق فقط من حالة احتفاظ المستخدم بـ NFT المؤقتة، يمكن للمهاجمين اقتراض NFT مؤقتًا من خلال قرض سريع للحصول على الإيجابيات.

فعالية Revest Finance

في 27 مارس 2022، تعرضت Revest Finance لهجوم من قِبل قراصنة، مما أدى إلى خسارة قدرها 120,000 دولار.

سبب الثغرة: هجوم إعادة الدخول على ERC-1155. لم يفحص العقد ما إذا كان FNFT جديد موجودًا أثناء عملية السك، وزاد متغير الحالة بعد دالة _mint()، مما أدى إلى ثغرة إعادة الدخول.

حدث مشروع NBA

في 21 أبريل 2022، تعرض مشروع NBA للاختراق.

سبب الثغرة: انتحال وتكرار التوقيع. لم يخزن العقد التوقيع الذي تم استخدامه، ولم يتحقق من msg.sender، مما أدى إلى إمكانية إعادة استخدام وانتحال التوقيع.

حدث أكوتار

في 23 أبريل 2022، تم قفل 11,000 ETH بسبب ثغرة في عقد مشروع Akutar.

سبب الثغرة: عيب في منطق الاسترداد. لم يأخذ دالة الاسترداد في الاعتبار إمكانية تقديم المستخدم لعروض على عدة NFT، مما أدى إلى عدم إمكانية إتمام الاسترداد أبداً.

حدث XCarnival

في 24 يونيو 2022، تعرضت XCarnival لهجوم، وحقق المتسللون أرباحًا قدرها 3087 ETH.

سبب الثغرة: عيب في منطق الإقراض. لم يتحقق العقد من صحة عنوان xToken، ولم يتحقق من حالة سجلات الرهن، مما أدى إلى إمكانية استخدام سجلات الرهن غير الصالحة للإقراض بشكل متكرر.

الأسئلة الشائعة حول تدقيق العقود الذكية لـ NFT

1. انتحال التوقيع وإعادة استخدامه

   • نقص التحقق من إعادة استخدام التوقيع
   • منطق فحص التوقيع غير دقيق

2. ثغرة منطقية

   • التحكم غير السليم في إجمالي كمية العملة
   • عملية المزاد تعتمد على الترتيب

3. هجوم إعادة الدخول على ERC721/ERC1155

   • قد تؤدي ميزة إشعار التحويل إلى إعادة الدخول

4. نطاق التفويض واسع للغاية

   • يتطلب تفويض جميع الرموز بدلاً من رمز فردي

5. مخاطر التلاعب بالأسعار

   • سعر NFT يعتمد على مؤشرات يمكن التلاعب بها

بناءً على ما سبق، لا تزال مشكلة أمان عقود NFT شائعة. يجب على فرق المشاريع أن تولي أهمية لتدقيق أمان العقود، واختيار فرق أمان محترفة لإجراء فحص شامل، لتجنب حدوث حوادث أمان مماثلة.