NFT Sözleşmesi Güvenliği: 2022 Yılı İlk Yarısı Olay Analizi ve Denetim Sorunları Üzerine Tartışma

2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve büyük kayıplara yol açtı. Veri platformu izlemelerine göre, ilk yarıda toplam 10 ana NFT güvenlik olayı meydana geldi ve toplam kayıp yaklaşık 6490 milyon dolar oldu. Saldırı yöntemleri başlıca sözleşme açıklarının kullanımı, özel anahtar sızıntısı ve oltalama gibi yöntemleri içeriyor. Dikkate değer bir nokta, Discord platformundaki oltalama saldırılarının neredeyse her gün gerçekleşmesi ve birçok bireysel kullanıcının kayıplar yaşamasına neden olmasıdır.

Tipik Güvenlik Olayları İncelemesi

TreasureDAO olayı

3 Mart'ta, TreasureDAO ticaret platformu saldırıya uğradı ve 100'den fazla NFT çalındı. Açık, TreasureMarketplaceBuyer sözleşmesindeki mantık hatasından kaynaklanıyordu; token türüne dair bir kontrol yapılmadan fiyat hesaplanması, çok az miktarda token ile NFT satın alınmasına olanak sağladı. Bu olay, ERC-1155 ve ERC-721 tokenlarının karışımının yol açabileceği sorunları gözler önüne serdi.

APE Coin airdrop olayı

17 Mart'ta, bir hacker, hızlı kredi kullanarak 60.000'den fazla APE Coin airdrop'u elde etti. Sorun, AirdropGrapesToken sözleşmesinin yalnızca anlık durumu kullanarak NFT sahipliğini değerlendirmesinde yatıyordu, bu da saldırganın hızlı krediyi manipüle etmesine olanak tanıdı.

Revest Finance olayı

27 Mart'ta, Revest Finance saldırıya uğradı ve 120.000 dolar kaybetti. Açık, ERC-1155 yeniden giriş saldırısıydı; sözleşme yeni NFT'ler oluşturulurken yeterince kontrol edilmedi ve bu da tekrarlanabilir mintleme işlemlerine yol açtı.

NBA koyun yününü alma olayı

21 Nisan'da, NBA projesi saldırıya uğradı. Sorun, imza doğrulama mekanizmasındaki bir açığın bulunması, imzaların yeniden kullanılabilir ve taklit edilebilir olmasıdır.

Akutar olayı

23 Nisan'da, sözleşme mantık hatası nedeniyle 11539 ETH (yaklaşık 34 milyon dolar) Akutar'ın AkuAuction sözleşmesinde kilitlenmiştir. Ana sorun, geri ödeme fonksiyonunun yetersiz tasarımıdır; çoklu teklif durumlarını işleyememektedir.

XCarnival olayı

24 Haziran'da, XCarnival saldırıya uğradı ve 3087 ETH (yaklaşık 3.8 milyon dolar) kaybetti. Açık, XNFT sözleşmesinin staking NFT'lerinin geçerliliğini sıkı bir şekilde kontrol etmemesiydi; bu da geçersiz staking kayıtlarının tekrar kullanımına ve borçlanmaya izin verdi.

NFT Sözleşmesi Yaygın Denetim Sorunları

1. İmza güvenliği:

   • Kullanıcı nonce'u gibi tekrarlayan yürütme doğrulaması eksik
   • İmza kontrolü sıkı değil, imza sahibinin sıfır adresi olup olmadığı doğrulanmadı.

2. Mantık açığı:

   • Özel madeni para basım yöntemleri toplam miktar kısıtlamalarını aşabilir
   • Müzayede sürecinde işlem sırası bağımlılığı saldırı riski bulunmaktadır

3. ERC721/ERC1155 yeniden giriş saldırısı:

   • Transfer bildirim fonksiyonu reentrancy saldırıları için kullanılabilir.

4. Yetki kapsamı çok geniş:

   • Tek bir token yetkisi yerine küresel yetki talep edilmesi, NFT'nin çalınma riskini artırır.

5. Fiyat manipülasyonu:

   • NFT fiyatı dış sözleşme durumuna bağlıdır ve ani borçlar tarafından manipüle edilebilir.

Bu sorunlar gerçek saldırılarda sık sık ortaya çıkmakta ve profesyonel güvenlik denetiminin önemini vurgulamaktadır. Proje sahipleri, sözleşme güvenliğine önem vermeli ve güvenlik risklerini azaltmak için profesyonel denetim hizmetleri aramalıdır.