Безопасность контрактов NFT: Обзор событий первой половины 2022 года и анализ распространенных вопросов

В первой половине 2022 года в области NFT произошло множество инцидентов безопасности, которые привели к огромным экономическим потерям. Согласно данным мониторинга платформы, произошло 10 основных инцидентов безопасности с потерями около 64,9 миллиона долларов. Основные методы атак включали использование уязвимостей контрактов, утечку приватных ключей и фишинг. Особенно широко распространены фишинговые атаки на платформе Discord, где почти ежедневно сервера подвергаются атакам, что приводит к частым потерям пользователей.

Обзор типичных инцидентов безопасности

Событие TreasureDAO

3 марта 2022 года платформа торговли TreasureDAO была атакована, в результате чего было украдено более 100 NFT. Уязвимость возникла из-за логической ошибки в контракте TreasureMarketplaceBuyer, который не различал токены ERC-1155 и ERC-721, что позволило злоумышленникам приобрести NFT без затрат.

APE Coin аирдроп событие

17 марта 2022 года злоумышленники использовали flash loan, чтобы получить более 60 000 APE Coin через airdrop. Проблема заключалась в контракте AirdropGrapesToken, который проверял только мгновенное владение NFT пользователем, не учитывая возможные последствия от flash loan.

Событие Revest Finance

27 марта 2022 года Revest Finance подвергся атаке, в результате которой было потеряно около 120 000 долларов США. Уязвимость существовала в контракте Revest и была вызвана скрытым внешним вызовом в стандарте ERC-1155, что привело к возможности повторного входа.

NBA хайп-скандал

21 апреля 2022 года проект NBA подвергся атаке. В контракте The_Association_Sales при верификации в белом списке возникли проблемы с подделкой и повторным использованием подписей, не было учёта уже использованных подписей, также не проводилась проверка msg.sender.

Событие Akutar

23 апреля 2022 года контракт AkuAuction проекта Akutar был заблокирован на 11539 ETH (около 34 миллионов долларов) из-за логической уязвимости. Условия проверки в функции возврата не учитывали возможность того, что пользователи могут делать ставки на несколько NFT, что сделало операцию возврата невозможной.

Событие XCarnival

24 июня 2022 года XCarnival подвергся атаке, в результате которой было потеряно около 3,8 миллиона долларов. Функция pledgeAndBorrow в контракте XNFT не проводила эффективную проверку адреса xToken заложенного NFT и состояния записи залога, что позволило злоумышленникам повторно использовать недействительные записи залога для заимствования.

Часто задаваемые вопросы по аудиту NFT контрактов

1. Подделка и повторное использование подписи:

   • Отсутствует проверка повторного использования подписи
   • Логика проверки подписи недостаточно完善

2. Логическая ошибка:

   • Неправильный контроль общего объема монет
   • Порядок сделок в процессе аукциона зависит от атак

3. Ребалансировка атак ERC721/ERC1155:

   • Функция уведомления о переводе может привести к повторному входу

4. Слишком широкий диапазон полномочий:

   • Требовать глобального разрешения, а не разрешения на отдельный токен

5. Манипуляция ценами:

   • Цена NFT зависит от внешних факторов и подвержена влиянию таких методов, как闪电贷.

Эти проблемы часто возникают в ходе реальных атак, подчеркивая важность профессионального аудита безопасности NFT-контрактов. Проектные команды должны уделять внимание безопасности контрактов и снижать риски безопасности через профессиональный аудит.