Безпека NFT-контрактів: аналіз подій першої половини 2022 року та розбір поширених проблем

У першій половині 2022 року в сфері безпеки блокчейну сталося кілька безпекових інцидентів, пов'язаних з NFT, що призвело до значних економічних втрат. У цій статті буде проведено глибокий аналіз цих інцидентів та обговорено поширені проблеми в процесі аудиту контрактів NFT.

Огляд безпекових інцидентів NFT

Згідно з даними платформи моніторингу безпеки блокчейна, у першій половині 2022 року сталося 10 значних інцидентів безпеки NFT, загальні збитки склали близько 6490 мільйонів доларів США. Основними методами атак були експлуатація вразливостей контрактів, витік приватних ключів та фішинг-атаки тощо. Варто зазначити, що фішинг-атаки на платформі Discord відбуваються майже щодня, завдаючи особистим користувачам частих збитків.

Аналіз типових інцидентів безпеки

Подія ### TreasureDAO

3 березня 2022 року платформа торгівлі TreasureDAO зазнала хакерської атаки, внаслідок якої було вкрадено понад 100 NFT.

Причина вразливості: заплутана логіка контракту. Функція buyItem контракту TreasureMarketplaceBuyer не перевіряє тип токена, а безпосередньо множить кількість на ціну за одиницю для розрахунку загальної вартості, що призводить до можливості покупки NFT за 0 ERC-20 токенів. Це сталося через змішування токенів ERC-1155 і ERC-721, при цьому токени 721 не обробляються окремо.

подія аеродропу APE Coin

17 березня 2022 року, хакери отримали понад 60 тисяч APE Coin через кредитування з моментальним запозиченням.

Причина вразливості: контракт на аеродроп перевіряв лише миттєвий стан володіння NFT користувачем, зловмисник міг тимчасово позичити NFT через флеш-кредит для отримання аеродропу.

Захід Revest Finance

27 березня 2022 року Revest Finance зазнала хакерської атаки, внаслідок якої втратила 120 тисяч доларів.

Причина вразливості: атака повторного входу ERC-1155. Контракт при карбуванні нового FNFT не перевіряє, чи вже існує, і змінна стану збільшується після функції _mint(), що призводить до вразливості повторного входу.

подія NBA

21 квітня 2022 року проект NBA зазнав хакерської атаки.

Причина вразливості: підробка та повторне використання підписів. Контракт не зберігає вже використані підписи і не перевіряє msg.sender, що призводить до можливості повторного використання та підробки підписів.

Подія Akutar

23 квітня 2022 року проект Akutar через вразливість у контракті призвів до блокування 11 тисяч ETH.

Причина вразливості: дефект логіки повернення. Функція повернення не враховує можливість того, що користувач може зробити ставки на кілька NFT, внаслідок чого повернення ніколи не може бути завершене.

Подія XCarnival

24 червня 2022 року XCarnival зазнав атаки, хакери отримали прибуток у 3087 ETH.

Причина вразливості: дефект логіки позики. Контракт не перевірив легітимність адреси xToken та не підтвердив стан застави, що призвело до можливості повторного використання недійсних записів застави для позики.

Загальні питання щодо аудиту NFT контрактів

1. Підробка та повторне використання підписів

   • Відсутня перевірка підпису на повторне використання
   • Логіка перевірки підпису не є суворою

2. Логічна вразливість

   • Неправильний контроль загальної кількості монет
   • Процес аукціону має залежність від порядку

3. Внутрішня атака ERC721/ERC1155

   • Функція сповіщення про переказ може призвести до повторного входу

4. Занадто великий обсяг прав

   • Вимагайте повну авторизацію токенів, а не окремих токенів

5. Ризик маніпуляції цінами

   • Ціна NFT залежить від показників, які легко піддаються маніпуляціям

Отже, проблема безпеки контрактів NFT все ще є поширеною. Проектні команди повинні приділяти увагу аудитам безпеки контрактів і обирати професійні команди безпеки для всебічної перевірки, щоб уникнути подібних інцидентів безпеки.