Безопасность NFT-контрактов: Обзор событий первой половины года и анализ часто задаваемых вопросов

В первой половине 2022 года ситуация с безопасностью в области NFT оставляла желать лучшего. Согласно данным платформы мониторинга, произошло 10 крупных инцидентов безопасности, которые привели к убыткам около 6490 миллионов долларов. Основные методы атак включали эксплуатацию уязвимостей контрактов, утечку приватных ключей и фишинг. Стоит отметить, что серверы Discord часто подвергались атакам, и пользователи периодически теряли средства из-за нажатия на фишинговые ссылки.

Обзор типичных инцидентов безопасности

Событие TreasureDAO

3 марта платформа TreasureDAO была атакована хакерами, в результате чего было украдено более 100 NFT. Уязвимость возникла из-за логической ошибки в функции buyItem контракта TreasureMarketplaceBuyer, которая не проверяла тип токена, что позволило купить NFT, заплатив 0 токенов. Это отражает проблему логической путаницы, вызванную смешиванием токенов ERC-1155 и ERC-721.

Событие аirdrop APE Coin

17 марта хакеры воспользовались флеш-кредитами для получения более 60 000 APE Coin в рамках аирдропа. Уязвимость была обнаружена в контракте аирдропа AirdropGrapesToken, который определял право собственности на NFT только на основе мгновенного состояния, которое можно было манипулировать с помощью флеш-кредита.

Событие Revest Finance

27 марта Revest Finance подвергся атаке, в результате чего потерял 120 000 долларов. Уязвимость связана с повторным входом ERC-1155, который возник из-за неправильного момента обновления переменной состояния в функции depositAdditionalToFNFT().

NBA хайп-мероприятие

21 апреля проект NBA подвергся хакерской атаке. Проблема заключалась в механизме проверки подписи контракта The_Association_Sales, который имел риски подделки и повторного использования подписи.

Акутар事件

23 апреля контракт AkuAuction проекта Akutar из-за логической уязвимости привел к блокировке 11,5 тысяч ETH (около 34 миллионов долларов). Основная проблема заключается в проектировании функции возврата, которая не учитывает ситуацию с многократными ставками пользователей.

XCarnival событие

24 июня XCarnival подвергся атаке, хакеры заработали 3087 эфиров. Уязвимость была в контракте XNFT, логика стейкинга и кредитования имела недостатки, позволяя злоумышленникам повторно использовать недействительные записи залога.

Часто задаваемые вопросы о NFT контрактах

1. Подделка и повторное использование подписей:

   • Отсутствует проверка на повторное выполнение
   • Проверка подписи не строгая

2. Логическая уязвимость:

   • Неправильный контроль общего объема эмиссии монет
   • Порядок сделок во время аукциона зависит от атак

3. Повторные атаки ERC721/ERC1155:

   • Функция уведомления о переводе может вызвать повторный вход

4. Область полномочий слишком велика:

   • Чрезмерные полномочия могут привести к краже NFT

5. Манипуляция ценами:

   • Цена NFT зависит от внешних факторов и подвержена атакам, таким как флеш-кредиты.

Учитывая вышеуказанные проблемы, команда проекта NFT должна уделять внимание аудиту безопасности контрактов для предотвращения потенциальных рисков и обеспечения безопасности активов пользователей.