NFT Sözleşme Güvenliği: 2022'nin İlk Yarısında Olayların Gözden Geçirilmesi ve Denetim Noktaları

2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve büyük ekonomik kayıplara yol açtı. Bir blockchain güvenlik platformunun izlemelerine göre, ilk yarıda toplamda 10 ana NFT güvenlik olayı gerçekleşti ve toplam kayıp yaklaşık 6490 milyon dolar oldu. Saldırı yöntemleri arasında sözleşme açığı kullanımı, özel anahtar sızıntısı ve kimlik avı gibi yöntemler yer almaktadır. Dikkate değer bir nokta, Discord kimlik avı olaylarının neredeyse her gün yaşanmasıdır; birçok kullanıcı kimlik avı bağlantılarına tıklayarak kayıplar yaşamıştır.

Tipik Güvenlik Olayı Analizi

TreasureDAO olayı

3 Mart 2022'de, TreasureDAO ticaret platformu bir siber saldırıya uğradı ve 100'den fazla NFT çalındı. Açık, TreasureMarketplaceBuyer sözleşmesinin buyItem fonksiyonunda mevcut olup, token türü kontrolü eksikliği nedeniyle ERC-20 token'ları için ödeme miktarının 0 olduğu durumlarda token satın alınmasına olanak tanımaktadır. Bu sorun, ERC-1155 ve ERC-721 token'larının karışık kullanımından kaynaklanan mantıksal karmaşadan kaynaklanmaktadır.

APE Coin airdrop olayı

17 Mart 2022'de, bir hacker, flash loan kullanarak 60.000'den fazla APE Coin airdrop'u aldı. Açık, AirdropGrapesToken airdrop sözleşmesinde bulundu; sözleşme yalnızca kullanıcının NFT üzerindeki anlık sahiplik durumunu kontrol ediyordu ve flash loan'ın olası etkilerini dikkate almıyordu.

Revest Finance olayı

27 Mart 2022'de, Revest Finance saldırıya uğradı ve yaklaşık 120.000 $ kaybetti. Açık, ERC-1155 yeniden giriş saldırısını içeriyordu ve Revest sözleşmesinin depositAdditionalToFNFT() fonksiyonunda meydana geldi.

NBA koyun tıraşı olayı

21 Nisan 2022'de, NBA proje ekibi bir saldırıya uğradı. The_Association_Sales sözleşmesi, beyaz liste doğrulama sırasında imza kötüye kullanımı ve yeniden kullanım sorunlarıyla karşılaştı, kullanılan imzaların saklanması ve msg.sender doğrulaması yapılmadı.

Akutar olayı

23 Nisan 2022'de, Akutar projesinin AkuAuction sözleşmesi, mantıksal bir açık nedeniyle 11539ETH (yaklaşık 34 milyon dolar) kilitlendi. Ana sorunlar arasında geri ödeme fonksiyonunun kötü tasarımı ve kullanıcıların birden fazla teklif vermesi durumunun göz önünde bulundurulmaması yer alıyor.

XCarnival olayı

24 Haziran 2022'de, NFT kredi protokolü XCarnival saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybedildi. XNFT sözleşmesinin pledgeAndBorrow fonksiyonunda mantık hatası bulunuyordu, xToken adresi ve teminat kayıt durumu için etkili bir kontrol yapılmamıştı.

NFT Sözleşmesi Denetimi Sıkça Sorulan Sorular

1. İmza kötüye kullanımı ve yeniden kullanımı:

   • Tekrar yürütme doğrulaması eksik
   • İmza kontrolü mantıksız

2. Mantık Açığı:

   • Madeni para toplamı yanlış kontrol
   • Müzayede sürecindeki işlem sırası saldırıya bağımlıdır

3. ERC721/ERC1155 yeniden giriş saldırısı:

   • Para transferi bildirim işlevi yeniden girişe neden olabilir

4. Yetki kapsamı çok geniş:

   • Gereksiz küresel yetki riski

5. Fiyat Manipülasyonu:

   • NFT fiyatı, kolayca manipüle edilebilen faktörlere bağlıdır.

NFT sözleşme güvenlik olaylarının sıkça yaşanması göz önüne alındığında, proje ekipleri sözleşme güvenlik denetim çalışmalarına önem vermeli, potansiyel riskleri önlemeli ve kullanıcı varlıklarının güvenliğini korumalıdır.