أمان عقود NFT: تحليل الأحداث ومناقشة مشكلات التدقيق في النصف الأول من عام 2022

في النصف الأول من عام 2022، كانت هناك أحداث أمان متكررة في مجال NFT، مما تسبب في خسائر كبيرة. ووفقًا لمراقبة بيانات المنصات، حدثت 10 حوادث أمان رئيسية في النصف الأول، مع خسائر إجمالية تبلغ حوالي 6490 مليون دولار. كانت طرق الهجوم الرئيسية تشمل استغلال ثغرات العقود، وتسرب المفاتيح الخاصة، والتصيد الاحتيالي. ومن الجدير بالذكر أن هجمات التصيد على منصة Discord تحدث تقريبًا كل يوم، مما يؤدي إلى تعرض عدد كبير من المستخدمين الأفراد للخسائر.

مراجعة الحوادث الأمنية النموذجية

حدث TreasureDAO

في 3 مارس، تعرضت منصة TreasureDAO للاختراق، وتم سرقة أكثر من 100 NFT. جاء الثغرة من خطأ منطقي في عقد TreasureMarketplaceBuyer، حيث لم يتم التحقق من نوع الرمز قبل حساب السعر، مما أدى إلى إمكانية شراء NFT بكمية قليلة جداً من الرموز. كشفت هذه الحادثة عن المشاكل المحتملة الناتجة عن خلط رموز ERC-1155 و ERC-721.

حدث توزيع عملة APE

في 17 مارس، استخدم القراصنة القرض الفوري للحصول على أكثر من 60,000 قطعة من APE Coin كإيردروب. تكمن المشكلة في أن عقد AirdropGrapesToken يعتمد فقط على الحالة الفورية لتحديد ملكية NFT، مما استغله المهاجمون للتلاعب بالقرض الفوري.

فعالية Revest Finance

في 27 مارس، تعرضت Revest Finance لهجوم، وخسرت 120,000 دولار. كانت الثغرة في هجوم إعادة الدخول على ERC-1155، حيث لم يتم فحص العقد بشكل كافٍ عند سك NFT جديدة، مما أدى إلى إمكانية تنفيذ عملية السك بشكل متكرر.

حدث استغلال NBA

في 21 أبريل، تعرض مشروع NBA لهجوم. تكمن المشكلة في وجود ثغرة في آلية التحقق من التوقيع، بما في ذلك إمكانية إعادة استخدام التوقيع وتزويره.

حدث أكوتار

في 23 أبريل، بسبب خطأ في منطق العقد، تم قفل 11539 ETH (حوالي 34 مليون دولار) في عقد AkuAuction الخاص بـ Akutar. كانت المشكلة الرئيسية هي تصميم دالة الاسترداد بشكل غير صحيح، مما يجعلها غير قادرة على التعامل مع حالات المزايدة المتعددة.

حدث XCarnival

في 24 يونيو، تعرضت XCarnival لهجوم، حيث خسرت 3087 ETH (حوالي 3.8 مليون دولار). كانت الثغرة في عقد XNFT حيث لم يتم فحص صلاحية NFT المرهونة بدقة، مما سمح بإعادة استخدام سجلات الرهن غير الصالحة للإقراض.

مشاكل التدقيق الشائعة لعقود NFT

1. أمان التوقيع:

   • نقص في التحقق من التنفيذ المتكرر، مثل nonce المستخدم
   • فحص التوقيع غير صارم، مثل عدم التحقق مما إذا كان الموقع هو عنوان صفر

2. ثغرة منطقية:

   • طرق السك الوطنية الخاصة قد تتجاوز حدود الكمية الإجمالية
   • هناك خطر هجوم يعتمد على ترتيب المعاملات أثناء عملية المزاد

3. هجوم إعادة الدخول ERC721/ERC1155:

   • قد يتم استغلال وظيفة إشعار التحويل لإجراء هجوم إعادة الدخول

4. نطاق التفويض كبير جداً:

   • يتطلب تفويضًا عالميًا بدلاً من تفويض رموز فردية، مما يزيد من مخاطر سرقة NFT

5. التحكم في الأسعار:

   • يعتمد سعر NFT على حالة العقد الخارجي، وقد يتم التلاعب به بواسطة القروض السريعة

تظهر هذه المشكلات بشكل متكرر خلال الهجمات الفعلية، مما يبرز أهمية تدقيق الأمان المهني. يجب على الفرق المعنية بالمشاريع أن تولي أهمية لأمان العقود، والبحث عن خدمات التدقيق المهنية، لتقليل المخاطر الأمنية.