- الموضوع
19k درجة الشعبية
18k درجة الشعبية
61k درجة الشعبية
31k درجة الشعبية
3k درجة الشعبية
95k درجة الشعبية
28k درجة الشعبية
27k درجة الشعبية
7k درجة الشعبية
18k درجة الشعبية
- تثبيت
19k درجة الشعبية
18k درجة الشعبية
61k درجة الشعبية
31k درجة الشعبية
3k درجة الشعبية
95k درجة الشعبية
28k درجة الشعبية
27k درجة الشعبية
7k درجة الشعبية
18k درجة الشعبية
شهد النصف الأول من عام 2022 تكرار حوادث أمان NFT، حيث أصبحت ثغرات العقود الذكية الخطر الرئيسي.
أمان عقود NFT: مراجعة أحداث النصف الأول من 2022 وتحليل الأسئلة الشائعة
في النصف الأول من عام 2022، تكررت حوادث الأمان في مجال NFT، مما تسبب في خسائر اقتصادية كبيرة. وفقًا لمراقبة منصة البيانات، حدثت 10 حوادث أمان رئيسية، مما أدى إلى خسائر تقدر بحوالي 6490 مليون دولار أمريكي. وكانت طرق الهجوم الرئيسية تشمل استغلال ثغرات العقود، تسرب المفاتيح الخاصة، والهجمات الاحتيالية. كانت هجمات الاحتيال على منصة Discord بالذات متفشية، حيث تتعرض الخوادم للاعتداء تقريبًا كل يوم، مما يؤدي إلى حدوث خسائر متكررة للمستخدمين.
مراجعة أحداث الأمان النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO للتداول للهجوم، مما أدى إلى سرقة أكثر من 100 NFT. كان مصدر الثغرة خطأً منطقيًا في عقد TreasureMarketplaceBuyer، حيث لم يتم التمييز بين رموز ERC-1155 و ERC-721، مما سمح للمهاجمين بشراء NFT بتكلفة صفرية.
حدث إسقاط عملة APE
في 17 مارس 2022، استغل المهاجمون القرض الفوري للحصول على أكثر من 60,000 من عملات APE Coin الموزعة. تكمن المشكلة في عقد AirdropGrapesToken، الذي يتحقق فقط من الملكية الفورية للمستخدم لـ NFT، دون أخذ تأثير القرض الفوري في الاعتبار.
فعالية Revest Finance
في 27 مارس 2022، تعرضت Revest Finance لهجوم، حيث تكبدت خسائر تقارب 120,000 دولار. كان الثغرة موجودة في عقد Revest، حيث أدى وجود استدعاءات خارجية مخفية في معيار ERC-1155 إلى إمكانية هجوم إعادة الدخول.
حدث استغلال NBA
في 21 أبريل 2022، تعرض مشروع NBA للهجوم. كان هناك مشكلة في انتحال الهوية وإعادة استخدام التوقيع في عقد The_Association_Sales أثناء التحقق من القائمة البيضاء، ولم يتم تسجيل التوقيع الذي تم استخدامه بالفعل، كما لم يتم التحقق من msg.sender.
حدث أكوتار
في 23 أبريل 2022، أدت ثغرة منطقية في عقد AkuAuction لمشروع Akutar إلى قفل 11539ETH (حوالي 34 مليون دولار أمريكي). لم تأخذ شروط التحقق في وظيفة استرداد الأموال في الاعتبار احتمال تقديم المستخدمين لعروض متعددة على NFT، مما جعل عملية الاسترداد غير قابلة للتنفيذ.
حدث XCarnival
في 24 يونيو 2022، تعرض XCarnival لهجوم، مما أدى إلى خسارة حوالي 3.8 مليون دولار. لم يقم دالة pledgeAndBorrow في عقد XNFT بإجراء فحص فعال لعنوان xToken الخاص بـ NFT المرهون وحالة سجل الرهن، مما سمح للمهاجمين بإعادة استخدام سجلات الرهن غير الصالحة لإجراء القروض.
أسئلة شائعة حول تدقيق العقود الذكية لـ NFT
انتحال الهوية والتكرار:
ثغرة منطقية:
هجوم إعادة الإدخال ERC721/ERC1155:
نطاق التفويض كبير جدًا:
التحكم في الأسعار:
تظهر هذه المشكلات بشكل متكرر في الهجمات الفعلية، مما يبرز أهمية إجراء تدقيق أمني متخصص لعقود NFT. يجب على الجهات المعنية بالمشاريع أن تعير اهتمامًا لأمان العقود، من خلال إجراء تدقيق متخصص لتقليل مخاطر الأمان.