NFT Sözleşme Güvenliği: İlk Yarı Olay İncelemesi ve Yaygın Sorunlar Analizi

2022 yılının ilk yarısında, NFT alanında güvenlik durumu pek iç açıcı değil. Veri platformunun izlemelerine göre, toplamda 10 önemli güvenlik olayı meydana geldi ve yaklaşık 6490 milyon dolar zarar oluştu. Başlıca saldırı yöntemleri arasında sözleşme açığı kullanımı, özel anahtar sızıntısı ve oltalama yer alıyor. Dikkate değer bir durum ise, Discord sunucularının sık sık saldırıya uğraması ve kullanıcıların oltalama bağlantılarına tıklamaları nedeniyle zarar görme durumlarının sıkça yaşanması.

Tipik Güvenlik Olaylarının Gözden Geçirilmesi

TreasureDAO olayı

3 Mart'ta, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Açığın kaynağı, TreasureMarketplaceBuyer sözleşmesinin buyItem fonksiyonundaki mantık hatasıydı; token türü kontrol edilmediği için 0 token ödeyerek NFT satın alınabilmesine neden oldu. Bu durum, ERC-1155 ve ERC-721 token'larının karıştırılmasının neden olduğu mantık karmaşası sorununu yansıtmaktadır.

APE Coin airdrop olayı

17 Mart'ta, bir hacker flash kredi kullanarak 60,000'den fazla APE Coin airdrop elde etti. Açık, AirdropGrapesToken airdrop sözleşmesinde ortaya çıktı; sözleşme yalnızca anlık durumu kullanarak NFT mülkiyetini belirliyordu ve bu durum flash kredi ile manipüle edilebiliyordu.

Revest Finance olayı

27 Mart'ta, Revest Finance saldırıya uğradı ve 120.000 dolar kaybetti. Açık, ERC-1155 yeniden giriş saldırısını içeriyor ve depositAdditionalToFNFT() fonksiyonundaki durum değişkenlerinin güncellenme zamanlamasındaki uygunsuzluktan kaynaklanıyor.

NBA koyun yününü alma olayı

21 Nisan'da, NBA projesi bir siber saldırıya uğradı. Sorun, The_Association_Sales sözleşmesinin imza doğrulama mekanizmasında bulunuyor ve imza kötüye kullanımı ve tekrar kullanımı riski taşıyor.

Akutar olayı

23 Nisan'da, Akutar projesinin AkuAuction sözleşmesi bir mantık açığı nedeniyle 11,5 bin ETH (yaklaşık 34 milyon dolar) kilitlendi. Ana sorun, geri ödeme fonksiyonunun tasarımındaki bir eksiklikti; kullanıcıların birden fazla kez teklif vermesi durumu göz önünde bulundurulmamıştı.

XCarnival olayı

24 Haziran'da, XCarnival saldırıya uğradı ve hacker 3087 adet Ethereum kazandı. Açık, XNFT sözleşmesinde bulunuyordu; stake etme ve borç verme mantığında bir hata vardı, bu da saldırganların geçersiz teminat kayıtlarını tekrar kullanmasına izin verdi.

NFT Sözleşmesi Sıkça Sorulan Sorular

1. İmza taklidi ve yeniden kullanımı:

   • Tekrar yürütme doğrulaması eksik
   • İmza kontrolü sıkı değil

2. Mantık açığı:

   • Madeni para toplamı kötü yönetildi
   • Müzayede sürecindeki işlem sırası saldırıya bağımlıdır

3. ERC721/ERC1155 yeniden giriş saldırısı:

   • Para transferi bildirim özelliği reentrancy tetikleyebilir

4. Yetki alanı çok geniş:

   • Aşırı yetkilendirme NFT'nin çalınmasına neden olabilir

5. Fiyat manipülasyonu:

   • NFT fiyatları dışsal faktörlere bağlıdır ve anlık kredi gibi saldırılara karşı hassastır.

Yukarıdaki sorunlar göz önüne alındığında, NFT proje ekipleri sözleşme güvenlik denetimine önem vermeli, potansiyel riskleri önlemeli ve kullanıcı varlıklarının güvenliğini sağlamalıdır.