NFT Sözleşme Güvenliği: 2022 Yılı İlk Yarısındaki Olay Analizi ve Yaygın Sorunların İncelenmesi

2022 yılının ilk yarısında, blockchain güvenlik alanında birçok NFT ile ilgili güvenlik olayı meydana geldi ve bu da büyük ekonomik kayıplara yol açtı. Bu makalede bu olaylar derinlemesine analiz edilecek ve NFT sözleşmesi denetim sürecindeki yaygın sorunlar tartışılacaktır.

NFT güvenlik olayları genel görünümü

Blockchain güvenlik izleme platformu verilerine göre, 2022'nin ilk yarısında toplamda 10 büyük NFT güvenlik olayı yaşandı ve toplam zarar yaklaşık 64.90 milyon dolar oldu. Ana saldırı yöntemleri arasında sözleşme açıklarından yararlanma, özel anahtar sızıntısı ve phishing saldırıları yer alıyor. Dikkat çekici bir şekilde, Discord platformundaki phishing saldırıları neredeyse her gün meydana geliyor ve bireysel kullanıcılara sık sık zarar veriyor.

Tipik Güvenlik Olayı Analizi

TreasureDAO olayı

3 Mart 2022'de, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı.

Hata nedeni: Sözleşme mantığı karmaşık. TreasureMarketplaceBuyer sözleşmesinin buyItem fonksiyonu, token türünü kontrol etmeden miktarı birim fiyatla çarparak toplam fiyatı hesaplıyor, bu da 0 ERC-20 token ile NFT satın alınmasına olanak tanıyor. Bu, ERC-1155 ve ERC-721 tokenlerinin karışık kullanımından kaynaklanıyor ve 721 tokenine özel bir işlem yapılmaması nedeniyle oluşuyor.

APE Coin airdrop olayı

17 Mart 2022'de, bir hacker flash kredi aracılığıyla 60.000'den fazla APE Coin airdrop'u elde etti.

Açık neden: Airdrop sözleşmesi yalnızca kullanıcının anlık NFT sahiplik durumunu kontrol etti, saldırganlar airdrop almak için geçici olarak NFT ödünç alabilirler.

Revest Finance olayı

27 Mart 2022'de, Revest Finance siber saldırıya uğradı ve 120.000 dolar kaybetti.

Hata nedeni: ERC-1155 yeniden giriş saldırısı. Sözleşme yeni FNFT basarken var olup olmadığını kontrol etmemiştir ve durum değişkeninin artışı _mint() fonksiyonundan sonra gerçekleşmektedir, bu da yeniden giriş açığına neden olmuştur.

NBA projesi olayı

21 Nisan 2022, NBA projesi hacklendi.

Açık nedenleri: imza kötüye kullanımı ve yeniden kullanımı. Sözleşme, kullanılan imzaları saklamıyor ve msg.sender'ı doğrulamıyor, bu da imzaların tekrar kullanılmasına ve kötüye kullanılmasına neden oluyor.

Akutar olayı

23 Nisan 2022'de, Akutar projesi sözleşme açığı nedeniyle 11.000 ETH kilitlendi.

Hata nedeni: İade mantığı hatası. İade fonksiyonu, kullanıcının birden fazla NFT'ye teklif verebileceği durumu dikkate almadığı için iade asla tamamlanamaz.

XCarnival olayı

24 Haziran 2022'de, XCarnival saldırıya uğradı, hacker 3087 ETH kazandı.

Hata nedeni: Kredi verme mantığı hatası. Sözleşme xToken adresinin geçerliliğini kontrol etmemiştir ve teminat kayıt durumunu doğrulamamıştır, bu da geçersiz teminat kayıtlarının tekrar tekrar kullanılmasına neden olmuştur.

NFT Sözleşmesi Denetiminde Sıkça Sorulan Sorular

1. İmza kötüye kullanımı ve yeniden kullanımı

   • İmza tekrar kullanma doğrulaması eksik
   • İmza kontrol mantığı tutarsız

2. Mantık Açığı

   • Madeni para toplamı kontrol edilmedi
   • Müzayede süreci sıralamaya bağımlıdır

3. ERC721/ERC1155 reentrancy saldırısı

   • Transfer bildirim özelliği re-entrantlığa neden olabilir

4. Yetki alanı çok geniş

   • Tüm tokenlerin yetkilendirilmesi gerekir, tek bir tokenin değil.

5. Fiyat manipülasyonu riski

   • NFT fiyatı kolayca manipüle edilebilen göstergelere bağlıdır

Yukarıda özetlenenlere göre, NFT sözleşmesi güvenlik sorunları hala yaygın olarak mevcuttur. Proje sahipleri sözleşme güvenlik denetimlerine önem vermeli, benzer güvenlik olaylarının meydana gelmesini önlemek için profesyonel bir güvenlik ekibi seçerek kapsamlı bir inceleme yapmalıdır.