Безпека NFT-контрактів: огляд подій першої половини року та аналіз поширених проблем

У першій половині 2022 року ситуація з безпекою в галузі NFT не вселяє оптимізму. За даними моніторингової платформи, відбулося 10 значних інцидентів безпеки, що призвели до втрат приблизно 6490 мільйонів доларів. Основними методами атак є використання вразливостей контрактів, витік приватних ключів та фішинг. Варто зазначити, що сервери Discord часто піддаються атакам, і користувачі зазнають втрат через натискання на фішингові посилання.

Огляд типових інцидентів безпеки

Подія ### TreasureDAO

3 березня платформа торгівлі TreasureDAO зазнала хакерської атаки, внаслідок якої було вкрадено понад 100 NFT. Уразливість виникла через логічну помилку у функції buyItem контракту TreasureMarketplaceBuyer, яка не перевіряла тип токена, що дозволило купувати NFT, сплачуючи 0 токенів. Це вказує на проблему логічного плутанини, викликану змішуванням токенів ERC-1155 та ERC-721.

подія аірдропу APE Coin

17 березня хакери використали кредит без застави для отримання понад 60 тисяч монет APE Coin у вигляді аірдропу. Вразливість виникла в контракті аірдропу AirdropGrapesToken, який лише через миттєвий стан визначав право власності на NFT, а цей стан можна було маніпулювати за допомогою кредиту без застави.

Захід Revest Finance

27 березня Revest Finance зазнав атаки, внаслідок якої було втрачено 120 000 доларів США. Уразливість стосується повторного входу ERC-1155, що виникає через невідповідний час оновлення змінної стану у функції depositAdditionalToFNFT().

NBA махінації з виграшем

21 квітня проект NBA зазнав хакерської атаки. Проблема полягала в механізмі перевірки підписів контракту The_Association_Sales, який має ризики підробки та повторного використання підписів.

Подія Akutar

23 квітня контракт AkuAuction проекту Akutar через логічну вразливість призвів до блокування 11,5 тисяч ETH (приблизно 34 мільйони доларів). Головна проблема полягає у дефекті дизайну функції повернення коштів, яка не враховує ситуацію з багаторазовими ставками користувачів.

XCarnival подія

24 червня XCarnival зазнав атаки, хакер отримав 3087 ефірів. Вразливість існувала в контракті XNFT, логіка стейкінгу та кредитування мала дефекти, які дозволяли зловмиснику повторно використовувати недійсні записи застави.

Поширені питання щодо NFT контрактів

1. Підробка та повторне використання підпису:

   • Брак повторної перевірки виконання
   • Перевірка підпису не є суворою

2. Логічна уразливість:

   • Неправильне контролювання загальної кількості монет
   • Порядок угод під час аукціону залежить від атаки

3. Напад на повторне введення ERC721/ERC1155:

   • Функція сповіщення про переказ може спричинити повторний вхід

4. Занадто великий обсяг повноважень:

   • Надмірне надання прав може призвести до крадіжки NFT

5. Маніпуляція цінами:

   • Ціна NFT залежить від зовнішніх факторів, легко піддається атакам, таким як миттєвий кредит.

Враховуючи вищезазначені проблеми, команди проектів NFT повинні приділяти увагу аудитам безпеки контрактів, щоб запобігти потенційним ризикам та забезпечити безпеку активів користувачів.