NFT Sözleşmesi Güvenlik Analizi: 2022'nin İlk Yarısında Olayların Gözden Geçirilmesi ve Yaygın Soruların Tartışılması
2022 yılının ilk yarısında, NFT alanında güvenlik durumu ciddiydi. Verilere göre, toplamda 10 ana güvenlik olayı meydana geldi ve yaklaşık 64.90 milyon dolar kayba yol açtı. Saldırı yöntemleri arasında sözleşme açıklarının kullanımı, özel anahtar sızıntısı ve oltalama gibi yöntemler yer almakta. Dikkat çeken bir nokta, Discord platformundaki oltalama saldırılarının neredeyse her gün gerçekleşmesi ve bu durumun bireysel kullanıcıların sık sık kayıplar yaşamasına neden olması.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart'ta, TreasureDAO ticaret platformu saldırıya uğradı ve 100'den fazla NFT çalındı. Sebebi, ERC-1155 ve ERC-721 tokenlerinin karışımı nedeniyle oluşan mantık açığıdır. Sözleşme, token alımını işlerken token türlerini ayırt etmediği için saldırganlar, ERC-20 tokenleri ile sıfır maliyetle NFT satın alabiliyordu.
APE Coin airdrop olayı
17 Mart'ta, bir hacker flash krediler aracılığıyla 60,000'den fazla APE Coin airdrop'u elde etti. Açık, airdrop sözleşmesinin NFT mülkiyetini anlık durumla kontrol etmesinden kaynaklanıyor ve bu durum flash kredilerle manipüle edilebiliyor.
Revest Finance olayı
27 Mart'ta, Revest Finance saldırıya uğradı ve 120.000 dolar kaybetti. Bu, yeni FNFT'ler oluşturulurken sözleşmenin durum güncelleme sırasını doğru bir şekilde ele almadığı tipik bir ERC-1155 yeniden giriş saldırısıdır.
NBA para kazanma olayı
21 Nisan'da, NBA projesi bir saldırıya uğradı. Sorun, beyaz liste doğrulama imza mekanizmasında imza sahteciliği ve yeniden kullanma olmak üzere iki ana açığın bulunmasından kaynaklanıyor.
Akutar olayı
23 Nisan'da, Akutar projesi bir sözleşme açığı nedeniyle 11539 ETH (yaklaşık 34 milyon dolar) kilitlendi. Ana sorunlar arasında geri ödeme fonksiyonunun tasarımındaki eksiklikler ve kullanıcıların birden fazla teklif vermesi durumunun göz önünde bulundurulmaması yer alıyor.
XCarnival olayı
24 Haziran'da, XCarnival saldırıya uğradı ve 3087 ETH (yaklaşık 3.8 milyon dolar) kaybetti. Açık, NFT'lerin stake edilmesi sırasında xToken adresinin geçerliliğinin doğrulanmaması ve borçlanma sırasında teminat kayıt durumunun kontrol edilmemesindeydi.
NFT sözleşmesi yaygın güvenlik sorunları
İmza kötüye kullanımı ve yeniden kullanımı:
Tekrar yürütme doğrulaması eksik
İmza kontrol mantığı sağlam değil
Mantık Açığı:
Madeni para toplamı kontrolsüz
Müzayede sürecindeki işlem sırası saldırıya bağımlıdır
ERC721/ERC1155 yeniden giriş saldırısı:
Para transferi bildirim özelliği re-entrancy'ye neden olabilir
NFT fiyatı dış faktörlere bağlıdır, hızlı kredi gibi yöntemlerden etkilenmeye açıktır
NFT sözleşmelerinin karmaşıklığı ve potansiyel riskleri göz önüne alındığında, olası güvenlik tehditlerine karşı önlem almak için profesyonel bir güvenlik şirketinden kapsamlı bir denetim talep etmek hayati önem taşımaktadır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
10 Likes
Reward
10
3
Share
Comment
0/400
PumpStrategist
· 19h ago
Tipik enayilerin insanları enayi yerine koymak ve Rekt vakası, chiplerin yüksek pozisyonda yoğunlaştığını bile görmemek.
NFT sözleşmesi güvenlik risklerinin analizi: 2022 yılının ilk yarısında 64.90 milyon dolar kaybın arkasındaki dersler
NFT Sözleşmesi Güvenlik Analizi: 2022'nin İlk Yarısında Olayların Gözden Geçirilmesi ve Yaygın Soruların Tartışılması
2022 yılının ilk yarısında, NFT alanında güvenlik durumu ciddiydi. Verilere göre, toplamda 10 ana güvenlik olayı meydana geldi ve yaklaşık 64.90 milyon dolar kayba yol açtı. Saldırı yöntemleri arasında sözleşme açıklarının kullanımı, özel anahtar sızıntısı ve oltalama gibi yöntemler yer almakta. Dikkat çeken bir nokta, Discord platformundaki oltalama saldırılarının neredeyse her gün gerçekleşmesi ve bu durumun bireysel kullanıcıların sık sık kayıplar yaşamasına neden olması.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart'ta, TreasureDAO ticaret platformu saldırıya uğradı ve 100'den fazla NFT çalındı. Sebebi, ERC-1155 ve ERC-721 tokenlerinin karışımı nedeniyle oluşan mantık açığıdır. Sözleşme, token alımını işlerken token türlerini ayırt etmediği için saldırganlar, ERC-20 tokenleri ile sıfır maliyetle NFT satın alabiliyordu.
APE Coin airdrop olayı
17 Mart'ta, bir hacker flash krediler aracılığıyla 60,000'den fazla APE Coin airdrop'u elde etti. Açık, airdrop sözleşmesinin NFT mülkiyetini anlık durumla kontrol etmesinden kaynaklanıyor ve bu durum flash kredilerle manipüle edilebiliyor.
Revest Finance olayı
27 Mart'ta, Revest Finance saldırıya uğradı ve 120.000 dolar kaybetti. Bu, yeni FNFT'ler oluşturulurken sözleşmenin durum güncelleme sırasını doğru bir şekilde ele almadığı tipik bir ERC-1155 yeniden giriş saldırısıdır.
NBA para kazanma olayı
21 Nisan'da, NBA projesi bir saldırıya uğradı. Sorun, beyaz liste doğrulama imza mekanizmasında imza sahteciliği ve yeniden kullanma olmak üzere iki ana açığın bulunmasından kaynaklanıyor.
Akutar olayı
23 Nisan'da, Akutar projesi bir sözleşme açığı nedeniyle 11539 ETH (yaklaşık 34 milyon dolar) kilitlendi. Ana sorunlar arasında geri ödeme fonksiyonunun tasarımındaki eksiklikler ve kullanıcıların birden fazla teklif vermesi durumunun göz önünde bulundurulmaması yer alıyor.
XCarnival olayı
24 Haziran'da, XCarnival saldırıya uğradı ve 3087 ETH (yaklaşık 3.8 milyon dolar) kaybetti. Açık, NFT'lerin stake edilmesi sırasında xToken adresinin geçerliliğinin doğrulanmaması ve borçlanma sırasında teminat kayıt durumunun kontrol edilmemesindeydi.
NFT sözleşmesi yaygın güvenlik sorunları
İmza kötüye kullanımı ve yeniden kullanımı:
Mantık Açığı:
ERC721/ERC1155 yeniden giriş saldırısı:
Yetki alanı çok geniş:
Fiyat manipülasyonu:
NFT sözleşmelerinin karmaşıklığı ve potansiyel riskleri göz önüne alındığında, olası güvenlik tehditlerine karşı önlem almak için profesyonel bir güvenlik şirketinden kapsamlı bir denetim talep etmek hayati önem taşımaktadır.