NFT Sözleşmesi Güvenlik Analiz Raporu: Yaygın Sorunlar ve Tipik Vakalar
2022 yılının ilk yarısında, NFT alanında birçok önemli güvenlik olayı meydana geldi ve toplam kayıp yaklaşık 64.90 milyon dolar oldu. Bu olaylar esas olarak sözleşme açıklarının kullanımı, özel anahtar sızıntıları ve kimlik avı saldırıları gibi yöntemlerle gerçekleşti. Dikkate değer bir husus, Discord platformundaki kimlik avı saldırılarının neredeyse her gün meydana gelmesi ve bireysel kullanıcılar için sık kayıplara yol açmasıdır.
Tipik Güvenlik Olayları Analizi
TreasureDAO olayı
3 Mart'ta, TreasureDAO ticaret platformu saldırıya uğradı ve 100'den fazla NFT çalındı. Bu olayın temel nedeni, ERC-1155 ve ERC-721 tokenlarının karışık kullanımıyla ortaya çıkan mantık karmaşasıdır. Sözleşme, token türlerini ayırt edemediği için, ERC-721'e uygulanabilir olmayan miktar kavramını fiyat hesaplamasında yanlış bir şekilde kullanmıştır.
APE Coin airdrop olayı
17 Mart'ta bir hacker, flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, airdrop sözleşmesinde bir hata vardı; sözleşme yalnızca kullanıcının NFT üzerindeki anlık mülkiyetini kontrol ediyordu ve bu, flash kredi ile kolayca manipüle edilebiliyordu.
Revest Finance olayı
27 Mart'ta, Revest Finance saldırıya uğradı ve yaklaşık 120.000 dolar kaybetti. Bu, tipik bir ERC-1155 yeniden giriş saldırısı örneğidir. Sözleşme, yeni FNFT'ler basılırken yeterince kontrol edilmedi ve bu da yeniden giriş açığına yol açtı.
NBA koyun tıraşı olayı
21 Nisan'da, NBA projesi saldırıya uğradı. Sorun, beyaz liste doğrulama imza mekanizmasında bulunuyor ve imza sahteciliği ile imza yeniden kullanımı olmak üzere iki ana sorun var. Sözleşme, kullanılan imzaları saklamadı ve imza verenleri sıkı bir şekilde doğrulamadı.
Akutar olayı
23 Nisan'da, Akutar projesi bir sözleşme açığı nedeniyle 34 milyon dolarlık varlığın kilitlenmesine neden oldu. Ana sorunlar arasında geri ödeme fonksiyonunun mantıksal hatası ve kullanıcıların birden fazla teklif vermesinin göz önünde bulundurulmaması yer alıyor.
XCarnival olayı
24 Haziran'da, XCarnival saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybetti. Saldırganlar, NFT'lerin stake edilmesi ve kredi verme sürecindeki sözleşme mantığındaki güvenlik açığını kullanarak geçersiz teminat kayıtlarını tekrar kullanarak kredi aldılar.
NFT sözleşmelerinde yaygın güvenlik sorunları
İmza kötüye kullanımı ve yeniden kullanımı: Tekrar yürütme doğrulaması ve imzalayanın geçerlilik kontrolü eksik.
Mantık Açığı: Örneğin, yöneticinin toplam miktar kısıtlamasını atlayarak madeni para basması, açık artırma sürecindeki işlem sırasının saldırıya bağımlılığı vb.
ERC721/ERC1155 yeniden giriş saldırısı: Transfer bildirim işlevi kullanılırken ortaya çıkabilir.
Aşırı yetki kapsamı: Kullanıcılar bazı işlemlerde aşırı yetki vermeye zorlanmaktadır.
Fiyat manipülasyonu: NFT fiyatları dışsal faktörlere bağlıdır ve ani kredi gibi yöntemlerle manipüle edilebilir.
Bu sorunlar gerçek saldırılarda sıkça ortaya çıkmakta ve profesyonel güvenlik denetiminin önemini vurgulamaktadır. Proje sahipleri, sözleşme güvenliğine önem vermeli ve potansiyel riskleri önlemek için profesyonel ekipler aramalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
5 Likes
Reward
5
4
Share
Comment
0/400
xSm2
· 4h ago
APE Bir dam( değil mi?) projeleri. Gerçekten, herkesin gözlerinin önünde öyle olduğunu düşünüyorum, ( yatırım) zaman terimleriyle gözlerimizi devireceğiz SooN.
NFT'ler ve özellikle APE ile hala boru hattı şeyleri var.
film* Zaman
View OriginalReply0
MEVHunterWang
· 10h ago
Kim bu kesintiyi kaldırabilir ki, gerçekten de neredeyse küçük bir hedefi yaktı.
2022'nin ilk yarısında NFT güvenlik olayları sıkça yaşandı, sözleşme açıkları ana risk haline geldi.
NFT Sözleşmesi Güvenlik Analiz Raporu: Yaygın Sorunlar ve Tipik Vakalar
2022 yılının ilk yarısında, NFT alanında birçok önemli güvenlik olayı meydana geldi ve toplam kayıp yaklaşık 64.90 milyon dolar oldu. Bu olaylar esas olarak sözleşme açıklarının kullanımı, özel anahtar sızıntıları ve kimlik avı saldırıları gibi yöntemlerle gerçekleşti. Dikkate değer bir husus, Discord platformundaki kimlik avı saldırılarının neredeyse her gün meydana gelmesi ve bireysel kullanıcılar için sık kayıplara yol açmasıdır.
Tipik Güvenlik Olayları Analizi
TreasureDAO olayı
3 Mart'ta, TreasureDAO ticaret platformu saldırıya uğradı ve 100'den fazla NFT çalındı. Bu olayın temel nedeni, ERC-1155 ve ERC-721 tokenlarının karışık kullanımıyla ortaya çıkan mantık karmaşasıdır. Sözleşme, token türlerini ayırt edemediği için, ERC-721'e uygulanabilir olmayan miktar kavramını fiyat hesaplamasında yanlış bir şekilde kullanmıştır.
APE Coin airdrop olayı
17 Mart'ta bir hacker, flash kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Açık, airdrop sözleşmesinde bir hata vardı; sözleşme yalnızca kullanıcının NFT üzerindeki anlık mülkiyetini kontrol ediyordu ve bu, flash kredi ile kolayca manipüle edilebiliyordu.
Revest Finance olayı
27 Mart'ta, Revest Finance saldırıya uğradı ve yaklaşık 120.000 dolar kaybetti. Bu, tipik bir ERC-1155 yeniden giriş saldırısı örneğidir. Sözleşme, yeni FNFT'ler basılırken yeterince kontrol edilmedi ve bu da yeniden giriş açığına yol açtı.
NBA koyun tıraşı olayı
21 Nisan'da, NBA projesi saldırıya uğradı. Sorun, beyaz liste doğrulama imza mekanizmasında bulunuyor ve imza sahteciliği ile imza yeniden kullanımı olmak üzere iki ana sorun var. Sözleşme, kullanılan imzaları saklamadı ve imza verenleri sıkı bir şekilde doğrulamadı.
Akutar olayı
23 Nisan'da, Akutar projesi bir sözleşme açığı nedeniyle 34 milyon dolarlık varlığın kilitlenmesine neden oldu. Ana sorunlar arasında geri ödeme fonksiyonunun mantıksal hatası ve kullanıcıların birden fazla teklif vermesinin göz önünde bulundurulmaması yer alıyor.
XCarnival olayı
24 Haziran'da, XCarnival saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybetti. Saldırganlar, NFT'lerin stake edilmesi ve kredi verme sürecindeki sözleşme mantığındaki güvenlik açığını kullanarak geçersiz teminat kayıtlarını tekrar kullanarak kredi aldılar.
NFT sözleşmelerinde yaygın güvenlik sorunları
İmza kötüye kullanımı ve yeniden kullanımı: Tekrar yürütme doğrulaması ve imzalayanın geçerlilik kontrolü eksik.
Mantık Açığı: Örneğin, yöneticinin toplam miktar kısıtlamasını atlayarak madeni para basması, açık artırma sürecindeki işlem sırasının saldırıya bağımlılığı vb.
ERC721/ERC1155 yeniden giriş saldırısı: Transfer bildirim işlevi kullanılırken ortaya çıkabilir.
Aşırı yetki kapsamı: Kullanıcılar bazı işlemlerde aşırı yetki vermeye zorlanmaktadır.
Fiyat manipülasyonu: NFT fiyatları dışsal faktörlere bağlıdır ve ani kredi gibi yöntemlerle manipüle edilebilir.
Bu sorunlar gerçek saldırılarda sıkça ortaya çıkmakta ve profesyonel güvenlik denetiminin önemini vurgulamaktadır. Proje sahipleri, sözleşme güvenliğine önem vermeli ve potansiyel riskleri önlemek için profesyonel ekipler aramalıdır.
Bir dam( değil mi?) projeleri.
Gerçekten, herkesin gözlerinin önünde öyle olduğunu düşünüyorum, ( yatırım) zaman terimleriyle gözlerimizi devireceğiz SooN.
NFT'ler ve özellikle APE ile hala boru hattı şeyleri var.
film* Zaman