Безпека NFT-контрактів: огляд подій першої половини 2022 року та аналіз поширених питань

У першій половині 2022 року в сфері NFT часто траплялися інциденти безпеки, що завдали величезних економічних втрат. За даними платформи моніторингу, сталося 10 основних інцидентів безпеки, внаслідок яких було втрачено близько 6490 мільйонів доларів. Основні способи атак включали експлуатацію вразливостей контрактів, витоки приватних ключів та фішинг. Фішингові атаки на платформі Discord були особливо поширені, практично щодня сервери піддавалися атакам, що призводило до частих втрат користувачів.

Огляд типових інцидентів безпеки

Подія ### TreasureDAO

3 березня 2022 року платформа торгівлі TreasureDAO зазнала атаки, внаслідок якої було вкрадено понад 100 NFT. Уразливість виникла через логічну помилку в контракті TreasureMarketplaceBuyer, яка не розрізняла токени ERC-1155 та ERC-721, що дозволило зловмисникам купувати NFT безкоштовно.

подія аеродропу APE Coin

17 березня 2022 року зловмисники використали闪电贷 для отримання понад 60 тисяч APE Coin airdrop. Проблема полягала в контракті AirdropGrapesToken, який перевіряв лише миттєву власність користувача на NFT, не враховуючи впливи, які можуть мати闪电贷.

Захід Revest Finance

27 березня 2022 року Revest Finance зазнала атаки, внаслідок чого було втрачено близько 120 тисяч доларів. Уразливість існувала в контракті Revest, через приховані зовнішні виклики в стандарті ERC-1155, що призвело до можливості повторного входу.

NBA хакінг подія

21 квітня 2022 року проект NBA зазнав атаки. У контракті The_Association_Sales під час перевірки в білому списку існували проблеми зі зловживанням та повторним використанням підписів, не було зафіксовано вже використані підписи, а також не було проведено перевірку msg.sender.

Подія Akutar

23 квітня 2022 року контракт AkuAuction проекту Akutar через логічну вразливість призвів до блокування 11539 ETH (приблизно 34 мільйони доларів США). Умови перевірки у функції повернення коштів не враховували можливість, що користувач може зробити ставку на кілька NFT, що унеможливлювало виконання операції повернення.

Подія XCarnival

24 червня 2022 року XCarnival зазнав атаки, внаслідок якої було втрачено близько 3,8 мільйона доларів. У функції pledgeAndBorrow контракту XNFT не було проведено ефективної перевірки адреси xToken заставленого NFT та статусу застави, що дозволило зловмисникам повторно використовувати недійсні заставні записи для позик.

Поширені питання щодо аудиту контрактів NFT

1. Підробка підпису та його повторне використання:

   • Відсутня перевірка повторного використання підпису
   • Логіка перевірки підпису не вдосконалена

2. Логічна помилка:

   • Неправильне контролювання загальної кількості монет
   • Порядок угод під час аукціону залежить від атаки

3. Атака повторного входу ERC721/ERC1155:

   • Функція сповіщення про переказ може призвести до повторного входу

4. Занадто широкий обсяг повноважень:

   • Вимагати глобального дозволу, а не дозволу на окремі токени

5. Маніпуляція цінами:

   • Ціна NFT залежить від зовнішніх факторів, легко підлягає впливу таких методів, як швидкі кредити.

Ці проблеми часто виникають під час реальних атак, що підкреслює важливість професійного аудиту безпеки для NFT-контрактів. Команди проектів повинні приділяти увагу безпеці контрактів, знижуючи ризики безпеки через професійний аудит.