تقرير تحليل أمان عقود NFT: الأسئلة الشائعة والحالات النموذجية
في النصف الأول من عام 2022، حدثت عدة أحداث أمان كبيرة في مجال NFT، مما أدى إلى خسائر إجمالية تقدر بحوالي 6490 دولار أمريكي. وقد نتجت هذه الأحداث بشكل رئيسي عن استغلال ثغرات في العقود، وتسرب المفاتيح الخاصة، وهجمات التصيد. ومن الجدير بالذكر أن هجمات التصيد على منصة Discord تحدث تقريبًا كل يوم، مما يتسبب في خسائر متكررة للمستخدمين الأفراد.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس، تعرضت منصة TreasureDAO التجارية للهجوم، مما أدى إلى سرقة أكثر من 100 NFT. السبب الجذري لهذه الحادثة هو الارتباك المنطقي الناجم عن الاستخدام المختلط لرموز ERC-1155 و ERC-721. لم يميز العقد بين أنواع الرموز، واستخدم بشكل خاطئ مفهوم الكمية غير القابل للتطبيق على ERC-721 في حساب السعر.
حدث توزيع APE Coin
في 17 مارس، استغل هاكر القرض السريع للحصول على أكثر من 60,000 من عملات APE التي تم توزيعها. كانت الثغرة موجودة في عقد التوزيع، حيث كان العقد يتحقق فقط من الملكية الفورية للمستخدم لـ NFT، وهو ما يمكن التلاعب به بسهولة من خلال القرض السريع.
فعالية Revest Finance
في 27 مارس، تعرضت Revest Finance لهجوم، مما أسفر عن خسارة تقارب 120,000 دولار أمريكي. هذه حالة نموذجية لهجوم إعادة الإدخال ERC-1155. لم يتم فحص العقد بشكل كافٍ عند سك FNFT جديدة، مما أدى إلى ظهور ثغرة إعادة الإدخال.
حدث NBA لاقتناص الفرص
في 21 أبريل، تعرض مشروع NBA لهجوم. كانت المشكلة في آلية توقيع التحقق من القائمة البيضاء، حيث كانت هناك مشكلتان رئيسيتان: انتحال التوقيع وإعادة استخدامه. لم يتم تخزين التوقيعات المستخدمة في العقد، ولم يتم التحقق من الموقّعين بشكل صارم.
حدث أكوتار
في 23 أبريل، تم قفل أصول بقيمة 34 مليون دولار بسبب ثغرة في عقد مشروع Akutar. تشمل المشكلات الرئيسية عيبًا منطقيًا في وظيفة الاسترداد وعدم أخذ حالات المزايدة المتعددة من قبل المستخدمين في الاعتبار.
حدث XCarnival
في 24 يونيو، تعرضت XCarnival لهجوم، حيث خسرت حوالي 3.8 مليون دولار. استغل المهاجم ثغرات منطقية في العقد خلال عملية رهن NFT والإقراض، مما أدى إلى إعادة استخدام سجلات رهن غير صالحة للإقراض.
المشاكل الأمنية الشائعة لعقود NFT
انتحال التوقيع وإعادة استخدامه: نقص في التحقق من التنفيذ المتكرر وفحص صلاحية الموقّع.
ثغرات منطقية: مثل قيام المسؤول بتجاوز حد الكمية المسموح بها في سك العملات، واعتماد ترتيب المعاملات في عملية المزاد على الهجمات، وما إلى ذلك.
هجوم إعادة الإدخال ERC721/ERC1155: قد يحدث عند استخدام وظيفة إشعار التحويل.
نطاق التفويض المفرط: يُطلب من المستخدمين في بعض العمليات تقديم تفويض مفرط.
التحكم في الأسعار: تعتمد أسعار NFT على عوامل خارجية، وقد تتعرض للتلاعب بطرق مثل القروض السريعة.
تظهر هذه المشكلات بشكل متكرر في الهجمات الفعلية، مما يبرز أهمية التدقيق الأمني الاحترافي. يجب على الفرق المعنية أن تعير اهتمامًا لأمان العقود وأن تسعى للحصول على فرق محترفة لإجراء تدقيق شامل، لتجنب المخاطر المحتملة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 5
أعجبني
5
4
مشاركة
تعليق
0/400
xSm2
· منذ 2 س
APE ليس مشروعاً مثل (؟). في الواقع، أعتقد أن الأمر واضح أمام أعين الجميع، سنرفع أعيننا في (الاستثمار) في الوقت القريب.
لا تزال هناك أشياء قيد التطوير تتعلق بـ NFTs و APE بشكل خاص.
وقت الفيلم*
شاهد النسخة الأصليةرد0
MEVHunterWang
· منذ 8 س
من يستطيع تحمل هذه الموجة من خداع الناس لتحقيق الربح، لقد تم حرق تقريبًا هدف صغير واحد.
شهد النصف الأول من عام 2022 حدوث العديد من حوادث أمان NFT، حيث أصبحت ثغرات العقود الذكية هي المخاطر الرئيسية.
تقرير تحليل أمان عقود NFT: الأسئلة الشائعة والحالات النموذجية
في النصف الأول من عام 2022، حدثت عدة أحداث أمان كبيرة في مجال NFT، مما أدى إلى خسائر إجمالية تقدر بحوالي 6490 دولار أمريكي. وقد نتجت هذه الأحداث بشكل رئيسي عن استغلال ثغرات في العقود، وتسرب المفاتيح الخاصة، وهجمات التصيد. ومن الجدير بالذكر أن هجمات التصيد على منصة Discord تحدث تقريبًا كل يوم، مما يتسبب في خسائر متكررة للمستخدمين الأفراد.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس، تعرضت منصة TreasureDAO التجارية للهجوم، مما أدى إلى سرقة أكثر من 100 NFT. السبب الجذري لهذه الحادثة هو الارتباك المنطقي الناجم عن الاستخدام المختلط لرموز ERC-1155 و ERC-721. لم يميز العقد بين أنواع الرموز، واستخدم بشكل خاطئ مفهوم الكمية غير القابل للتطبيق على ERC-721 في حساب السعر.
حدث توزيع APE Coin
في 17 مارس، استغل هاكر القرض السريع للحصول على أكثر من 60,000 من عملات APE التي تم توزيعها. كانت الثغرة موجودة في عقد التوزيع، حيث كان العقد يتحقق فقط من الملكية الفورية للمستخدم لـ NFT، وهو ما يمكن التلاعب به بسهولة من خلال القرض السريع.
فعالية Revest Finance
في 27 مارس، تعرضت Revest Finance لهجوم، مما أسفر عن خسارة تقارب 120,000 دولار أمريكي. هذه حالة نموذجية لهجوم إعادة الإدخال ERC-1155. لم يتم فحص العقد بشكل كافٍ عند سك FNFT جديدة، مما أدى إلى ظهور ثغرة إعادة الإدخال.
حدث NBA لاقتناص الفرص
في 21 أبريل، تعرض مشروع NBA لهجوم. كانت المشكلة في آلية توقيع التحقق من القائمة البيضاء، حيث كانت هناك مشكلتان رئيسيتان: انتحال التوقيع وإعادة استخدامه. لم يتم تخزين التوقيعات المستخدمة في العقد، ولم يتم التحقق من الموقّعين بشكل صارم.
حدث أكوتار
في 23 أبريل، تم قفل أصول بقيمة 34 مليون دولار بسبب ثغرة في عقد مشروع Akutar. تشمل المشكلات الرئيسية عيبًا منطقيًا في وظيفة الاسترداد وعدم أخذ حالات المزايدة المتعددة من قبل المستخدمين في الاعتبار.
حدث XCarnival
في 24 يونيو، تعرضت XCarnival لهجوم، حيث خسرت حوالي 3.8 مليون دولار. استغل المهاجم ثغرات منطقية في العقد خلال عملية رهن NFT والإقراض، مما أدى إلى إعادة استخدام سجلات رهن غير صالحة للإقراض.
المشاكل الأمنية الشائعة لعقود NFT
انتحال التوقيع وإعادة استخدامه: نقص في التحقق من التنفيذ المتكرر وفحص صلاحية الموقّع.
ثغرات منطقية: مثل قيام المسؤول بتجاوز حد الكمية المسموح بها في سك العملات، واعتماد ترتيب المعاملات في عملية المزاد على الهجمات، وما إلى ذلك.
هجوم إعادة الإدخال ERC721/ERC1155: قد يحدث عند استخدام وظيفة إشعار التحويل.
نطاق التفويض المفرط: يُطلب من المستخدمين في بعض العمليات تقديم تفويض مفرط.
التحكم في الأسعار: تعتمد أسعار NFT على عوامل خارجية، وقد تتعرض للتلاعب بطرق مثل القروض السريعة.
تظهر هذه المشكلات بشكل متكرر في الهجمات الفعلية، مما يبرز أهمية التدقيق الأمني الاحترافي. يجب على الفرق المعنية أن تعير اهتمامًا لأمان العقود وأن تسعى للحصول على فرق محترفة لإجراء تدقيق شامل، لتجنب المخاطر المحتملة.
ليس مشروعاً مثل (؟).
في الواقع، أعتقد أن الأمر واضح أمام أعين الجميع، سنرفع أعيننا في (الاستثمار) في الوقت القريب.
لا تزال هناك أشياء قيد التطوير تتعلق بـ NFTs و APE بشكل خاص.
وقت الفيلم*