NFT Sözleşme Güvenliği: 2022 İlk Yarısında Olay İncelemesi ve Yaygın Sorun Analizi

2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıkça meydana geldi ve büyük ekonomik kayıplara yol açtı. Veri platformu izlemelerine göre, toplamda 10 adet ana güvenlik olayı gerçekleşti ve yaklaşık 64.90 milyon dolar kayıp yaşandı. Saldırı yöntemleri arasında sözleşme açıklarının kullanılması, özel anahtar sızıntısı ve phishing gibi yöntemler öne çıktı. Discord platformundaki phishing saldırıları özellikle yaygındı, neredeyse her gün sunucular saldırıya uğruyor ve kullanıcıların kayıpları sıkça meydana geliyor.

Tipik Güvenlik Olaylarının Gözden Geçirilmesi

TreasureDAO olayı

3 Mart 2022'de, TreasureDAO ticaret platformu saldırıya uğradı ve 100'den fazla NFT çalındı. Açığın kaynağı, TreasureMarketplaceBuyer sözleşmesindeki mantık hatasıydı; bu hata ERC-1155 ve ERC-721 tokenlarını ayırt edemediği için saldırganların NFT'leri sıfır maliyetle satın almasına olanak tanıdı.

APE Coin airdrop olayı

17 Mart 2022'de, saldırganlar bir flash loan kullanarak 60.000'den fazla APE Coin airdrop'u elde ettiler. Sorun, AirdropGrapesToken akıllı sözleşmesinde yatıyor; bu sözleşme yalnızca kullanıcının NFT üzerindeki anlık mülkiyetini kontrol ediyor ve flash loan'ların potansiyel etkilerini dikkate almıyor.

Revest Finance olayı

27 Mart 2022'de, Revest Finance saldırıya uğradı ve yaklaşık 120,000 dolar kaybetti. Açık, Revest sözleşmesinde bulunuyordu ve ERC-1155 standardındaki gizli dış çağrılar nedeniyle yeniden giriş saldırısının olasılığını artırıyordu.

NBA koyun gübresi olayı

2022年4月21日，NBA项目遭遇攻击。The_Association_Sales合约在 beyaz liste doğrulaması sırasında imza kötüye kullanımı ve yeniden kullanım sorunları vardı, kullanılan imzaların kaydı yapılmadı ve msg.sender doğrulaması yapılmadı.

Akutar olayı

23 Nisan 2022'de, Akutar projesinin AkuAuction sözleşmesi, mantıksal bir hata nedeniyle 11539ETH (yaklaşık 34 milyon dolar) kilitlendi. İade fonksiyonundaki koşul kontrolü, kullanıcıların birden fazla NFT teklif edebileceği durumunu dikkate almadığı için iade işlemi gerçekleştirilemedi.

XCarnival olayı

24 Haziran 2022'de, XCarnival saldırıya uğradı ve yaklaşık 3.8 milyon dolar kaybetti. XNFT sözleşmesindeki pledgeAndBorrow fonksiyonu, teminat NFT'sinin xToken adresi ve teminat kayıt durumu üzerinde etkili bir kontrol sağlamadı, bu da saldırganların geçersiz teminat kayıtlarını tekrar tekrar kullanarak borç almasına olanak tanıdı.

NFT Sözleşmesi Denetimi Sıkça Sorulan Sorular

1. İmza kötüye kullanımı ve yeniden kullanımı:

   • İmza tekrar kullanma doğrulaması eksik
   • İmza kontrol mantığı eksik

2. Mantık Açığı:

   • Madeni para toplamı kontrolsüz
   • Müzayede sürecindeki işlem sırası saldırıya bağımlıdır

3. ERC721/ERC1155 yeniden giriş saldırısı:

   • Para transferi bildirim özelliği re-entrance'e neden olabilir

4. Yetki alanı çok geniş:

   • Tekil token yetkisi yerine küresel yetki talep et

5. Fiyat manipülasyonu:

   • NFT fiyatı dış faktörlere bağlıdır, hızlı kredi gibi yöntemlerden etkilenir.

Bu sorunlar gerçek saldırılarda sıkça ortaya çıkmakta ve NFT sözleşmelerinin profesyonel güvenlik denetiminin önemini vurgulamaktadır. Proje sahipleri sözleşme güvenliğine önem vermeli ve güvenlik risklerini azaltmak için profesyonel denetim yaptırmalıdır.