Безпека NFT контрактів: аналіз подій та обговорення проблем аудиту за перше півріччя 2022 року

У першій половині 2022 року в сфері NFT сталося безліч інцидентів безпеки, що призвели до величезних втрат. Згідно з даними платформи моніторингу, за першу половину року сталося 10 основних інцидентів безпеки NFT, загальні втрати склали близько 6490 мільйонів доларів США. Основними способами атак були використання вразливостей контрактів, витік приватних ключів та фішинг. Варто зазначити, що фішингові атаки на платформі Discord відбуваються майже щодня, що призводить до значних втрат серед особистих користувачів.

Огляд типових інцидентів безпеки

Подія ### TreasureDAO

3 березня платформа торгівлі TreasureDAO зазнала атаки, в результаті якої було вкрадено понад 100 NFT. Вразливість виникла через логічну помилку в контракті TreasureMarketplaceBuyer, який не перевіряв тип токена перед розрахунком ціни, що дозволило купувати NFT за дуже малу кількість токенів. Ця подія виявила потенційні проблеми, які можуть виникнути при змішуванні токенів ERC-1155 та ERC-721.

Подія аірдропу APE Coin

17 березня хакери використали флеш-лоан, щоб отримати понад 60 тисяч APE Coin через аірдроп. Проблема полягала в тому, що контракт AirdropGrapesToken оцінював право власності на NFT лише за миттєвим станом, що було використано зловмисниками для маніпуляцій через флеш-лоан.

Захід Revest Finance

27 березня Revest Finance зазнала атаки, внаслідок якої було втрачено 120 000 доларів США. Уразливість полягала в атаці повторного входу ERC-1155, контракт не проводив достатньої перевірки під час випуску нового NFT, що призвело до можливості повторного виконання операцій випуску.

NBA хайпова подія

21 квітня проект NBA зазнав атаки. Проблема полягає у наявності вразливостей у механізмі перевірки підписів, зокрема, що підписи можуть бути повторно використані та підроблені.

Подія Akutar

23 квітня, через логічну помилку в контракті, 11539 ETH (приблизно 34 мільйони доларів) були заблоковані в контракті AkuAuction для Akutar. Основною проблемою є неналежний дизайн функції повернення коштів, яка не може обробляти випадки з кількома ставками.

Подія XCarnival

24 червня XCarnival зазнав атаки, в результаті якої було втрачено 3087 ETH (приблизно 3,8 мільйона доларів). Уразливість полягала в тому, що контракт XNFT не перевіряв строго дійсність заставлених NFT, що дозволяло повторно використовувати недійсні записи застави для отримання кредитів.

Звичні питання аудиту NFT-контрактів

1. Безпека підпису:

   • Брак повторної перевірки виконання, наприклад, nonce користувача
   • Перевірка підпису не є суворою, якщо не перевірено, чи є підписувач нульовою адресою

2. Логічна помилка:

   • Спеціальні способи карбування монет можуть обійти обмеження загальної кількості
   • Під час аукціону існує ризик атаки залежності від порядку транзакцій

3. Реентераційна атака ERC721/ERC1155:

   • Функція сповіщення про переказ може бути використана для проведення атаки повторного входу

4. Занадто широкий обсяг повноважень:

   • Вимагається глобальне авторизація, а не авторизація окремих токенів, що збільшує ризик крадіжки NFT

5. Маніпуляція ціною:

   • Ціна NFT залежить від стану зовнішнього контракту, може бути маніпульована за допомогою швидкого кредиту

Ці проблеми часто виникають під час реальних атак, що підкреслює важливість професійного аудиту безпеки. Команди проекту повинні звертати увагу на безпеку контрактів і шукати професійні аудиторські послуги для зниження ризиків безпеки.