Безопасность NFT-контрактов: анализ событий и обсуждение вопросов аудита за первую половину 2022 года

В первой половине 2022 года в области NFT произошло множество инцидентов безопасности, что привело к огромным потерям. По данным мониторинговой платформы, в первой половине года произошло 10 основных инцидентов безопасности NFT с совокупными потерями около 64,9 миллиона долларов США. Основные способы атак включали использование уязвимостей контрактов, утечки приватных ключей и фишинг. Примечательно, что фишинговые атаки на платформе Discord происходили практически каждый день, что привело к потерям для множества индивидуальных пользователей.

Обзор типичных инцидентов безопасности

Событие TreasureDAO

3 марта платформа TreasureDAO была атакована, в результате чего было похищено более 100 NFT. Уязвимость возникла из-за логической ошибки в контракте TreasureMarketplaceBuyer, который не проверял тип токена перед расчетом цены, что позволило приобрести NFT за крайне малое количество токенов. Этот инцидент выявил возможные проблемы, возникающие при смешивании токенов ERC-1155 и ERC-721.

APE Coin аирдроп событие

17 марта хакеры использовали флеш-кредит для получения более 60 000 токенов APE Coin в результате airdrop. Проблема заключалась в том, что контракт AirdropGrapesToken определял право собственности на NFT только на основе мгновенного состояния, что было использовано злоумышленниками для манипуляции с флеш-кредитом.

Событие Revest Finance

27 марта Revest Finance подвергся атаке, в результате которой было потеряно 120 000 долларов США. Уязвимость заключалась в реентерабельной атаке на ERC-1155, контракт не проводил достаточную проверку при создании новых NFT, что позволяло многократное выполнение операций создания.

NBA хауя событие

21 апреля проект NBA подвергся атаке. Проблема заключается в уязвимости механизма проверки подписей, включая возможность повторного использования и подделки подписей.

Событие Akutar

23 апреля, из-за логической ошибки в контракте, 11539 ETH (около 34 миллионов долларов) были заблокированы в контракте AkuAuction Akutar. Основная проблема заключается в том, что функция возврата была неправильно спроектирована и не могла обрабатывать случаи многократных ставок.

событие XCarnival

24 июня XCarnival подвергся атаке, понеся убытки в 3087 ETH (примерно 3,8 миллиона долларов). Уязвимость заключалась в том, что контракт XNFT недостаточно строго проверял действительность заложенных NFT, что позволяло повторно использовать недействительные записи залога для заимствования.

Частые вопросы по аудиту NFT-контрактов

1. Безопасность подписи:

   • Недостаток проверки повторного выполнения, например, nonce пользователя
   • Проверка подписи не строга, например, не проверяется, является ли подписавший нулевым адресом.

2. Логическая уязвимость:

   • Специальные способы чеканки монет могут обойти ограничение общего объема.
   • В процессе аукциона существует риск атаки, зависящей от порядка сделок.

3. Атака повторного входа ERC721/ERC1155:

   • Функция уведомления о переводах может быть использована для атаки повторного входа

4. Слишком широкий диапазон полномочий:

   • Требуется глобальное разрешение, а не разрешение на отдельный токен, что увеличивает риск кражи NFT.

5. Ценовое манипулирование:

   • Цена NFT зависит от состояния внешнего контракта и может быть манипулирована через флеш-кредиты

Эти проблемы часто возникают в ходе реальных атак, что подчеркивает важность профессионального аудита безопасности. Проектные команды должны придавать значение безопасности контрактов и искать профессиональные аудиторские услуги для снижения рисков безопасности.