أمان عقود NFT: تحليل أحداث النصف الأول من عام 2022 ومناقشة الأسئلة الشائعة
في النصف الأول من عام 2022، كانت هناك العديد من حوادث الأمان في مجال NFT، مما أدى إلى خسائر ضخمة. ستقوم هذه المقالة بتحليل معمق لوضع أمان عقود NFT خلال هذه الفترة، واستكشاف الحالات النموذجية والمشكلات الشائعة.
ملخص أحداث أمان NFT في النصف الأول من العام
وفقًا لبيانات مراقبة أمان blockchain، حدثت 10 حوادث أمان NFT كبيرة في النصف الأول من عام 2022، مع خسائر إجمالية تقارب 64.9 مليون دولار. تشمل أساليب الهجوم الرئيسية استغلال ثغرات العقود، تسرب المفاتيح الخاصة، والهجمات التصيدية. من الجدير بالذكر أن هجمات التصيد على منصة Discord كانت متفشية بشكل خاص، حيث يتعرض المستخدمون للخسائر تقريبًا كل يوم.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO للتداول لهجوم قراصنة، وتم سرقة أكثر من 100 NFT.
سبب الثغرة: منطق العقد مختلط. وظيفة buyItem في عقد TreasureMarketplaceBuyer لم تتحقق من نوع الرمز، مما أدى إلى إمكانية شراء NFT عندما يكون مقدار الدفع برمز ERC-20 مساوياً للصفر. وهذا بسبب الاستخدام المختلط لرموز ERC-1155 و ERC-721، وعدم معالجة ERC-721، الذي لا يحتوي على مفهوم الكمية، بشكل خاص.
حدث توزيع عملة APE
في 17 مارس 2022، استخدم القراصنة قرض الفلاش للحصول على أكثر من 60,000 قطعة من عملة APE.
سبب الثغرة: عيب في منطق العقد. عقد الإرسال المجاني يعتمد فقط على balanceOf() لتحديد ملكية المستخدم لـ NFT، وهذا يمكنه فقط الحصول على حالة لحظية، ويمكن التلاعب به بواسطة القروض السريعة.
فعالية Revest Finance
في 27 مارس 2022 ، تعرضت Revest Finance لقرصنة ، مما أدى إلى خسارة قدرها 120,000 دولار.
سبب الثغرة: هجوم إعادة الدخول على ERC-1155. يوجد ثغرة إعادة دخول في عقد Revest عند إضافة أصول FNFT المرهونة، ناتجة عن استدعاء خارجي في دالة الصك.
حدث استغلال NBA
في 21 أبريل 2022، تعرض مشروع NBA للاختراق.
سبب الثغرة: عيب في التحقق من التوقيع. تحتوي عقدة The_Association_Sales على مشكلة انتحال التوقيع وإعادة استخدامه أثناء التحقق من القائمة البيضاء.
حدث أكوتار
في 23 أبريل 2022، أدى ثغرة عقد AkuAuction في مشروع Akutar إلى قفل 11,000 ETH.
سبب الثغرة: عيب في منطق الاسترداد. يوجد خطر من إمكانية تعطيل وظيفة الاسترداد بشكل خبيث، ولم يتم أخذ حالة تقديم العطاءات المتكررة من قبل المستخدمين في الاعتبار، مما أدى إلى عدم القدرة على تنفيذ الاسترداد.
حدث XCarnival
في 24 يونيو 2022، تعرضت XCarnival لهجوم وتكبدت خسائر قدرها 3.8 مليون دولار.
سبب الثغرة: عدم دقة التحقق من سجلات الرهن. لم يقم عقد XNFT بإجراء فحوصات كافية أثناء الرهن والإقراض، مما أدى إلى إمكانية إعادة استخدام سجلات الرهن غير الصالحة.
مشكلات الأمان الشائعة في عقود NFT
مشكلة التحقق من التوقيع: يفتقر إلى التحقق من التنفيذ المتكرر، والتحقق من التوقيع ليس صارماً.
ثغرات منطقية: قيود سك العملة غير صحيحة، وهناك ثغرات في عملية المزايدة.
هجمات إعادة الدخول ERC721/ERC1155: قد تؤدي وظيفة إشعار التحويل إلى إعادة الدخول.
التفويض المفرط: يتطلب تفويضًا عالميًا بينما يحتاج فقط إلى تفويض رمز واحد.
التلاعب بالأسعار: تعتمد الأسعار على عوامل يمكن أن تتلاعب بها القروض الفورية.
بناءً على ما سبق، فإن مشكلات أمان عقود NFT معقدة ومتنوعة، مما يجعل التدقيق المهني في غاية الأهمية. يجب على فريق المشروع أن يولي اهتمامًا بأمان العقود، وأن يقيم بشكل شامل المخاطر المحتملة، لضمان أمان أصول المستخدمين.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تحليل أمان عقود NFT: مناقشة الأحداث النموذجية والثغرات الشائعة في النصف الأول من عام 2022
أمان عقود NFT: تحليل أحداث النصف الأول من عام 2022 ومناقشة الأسئلة الشائعة
في النصف الأول من عام 2022، كانت هناك العديد من حوادث الأمان في مجال NFT، مما أدى إلى خسائر ضخمة. ستقوم هذه المقالة بتحليل معمق لوضع أمان عقود NFT خلال هذه الفترة، واستكشاف الحالات النموذجية والمشكلات الشائعة.
ملخص أحداث أمان NFT في النصف الأول من العام
وفقًا لبيانات مراقبة أمان blockchain، حدثت 10 حوادث أمان NFT كبيرة في النصف الأول من عام 2022، مع خسائر إجمالية تقارب 64.9 مليون دولار. تشمل أساليب الهجوم الرئيسية استغلال ثغرات العقود، تسرب المفاتيح الخاصة، والهجمات التصيدية. من الجدير بالذكر أن هجمات التصيد على منصة Discord كانت متفشية بشكل خاص، حيث يتعرض المستخدمون للخسائر تقريبًا كل يوم.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO للتداول لهجوم قراصنة، وتم سرقة أكثر من 100 NFT.
سبب الثغرة: منطق العقد مختلط. وظيفة buyItem في عقد TreasureMarketplaceBuyer لم تتحقق من نوع الرمز، مما أدى إلى إمكانية شراء NFT عندما يكون مقدار الدفع برمز ERC-20 مساوياً للصفر. وهذا بسبب الاستخدام المختلط لرموز ERC-1155 و ERC-721، وعدم معالجة ERC-721، الذي لا يحتوي على مفهوم الكمية، بشكل خاص.
حدث توزيع عملة APE
في 17 مارس 2022، استخدم القراصنة قرض الفلاش للحصول على أكثر من 60,000 قطعة من عملة APE.
سبب الثغرة: عيب في منطق العقد. عقد الإرسال المجاني يعتمد فقط على balanceOf() لتحديد ملكية المستخدم لـ NFT، وهذا يمكنه فقط الحصول على حالة لحظية، ويمكن التلاعب به بواسطة القروض السريعة.
فعالية Revest Finance
في 27 مارس 2022 ، تعرضت Revest Finance لقرصنة ، مما أدى إلى خسارة قدرها 120,000 دولار.
سبب الثغرة: هجوم إعادة الدخول على ERC-1155. يوجد ثغرة إعادة دخول في عقد Revest عند إضافة أصول FNFT المرهونة، ناتجة عن استدعاء خارجي في دالة الصك.
حدث استغلال NBA
في 21 أبريل 2022، تعرض مشروع NBA للاختراق.
سبب الثغرة: عيب في التحقق من التوقيع. تحتوي عقدة The_Association_Sales على مشكلة انتحال التوقيع وإعادة استخدامه أثناء التحقق من القائمة البيضاء.
حدث أكوتار
في 23 أبريل 2022، أدى ثغرة عقد AkuAuction في مشروع Akutar إلى قفل 11,000 ETH.
سبب الثغرة: عيب في منطق الاسترداد. يوجد خطر من إمكانية تعطيل وظيفة الاسترداد بشكل خبيث، ولم يتم أخذ حالة تقديم العطاءات المتكررة من قبل المستخدمين في الاعتبار، مما أدى إلى عدم القدرة على تنفيذ الاسترداد.
حدث XCarnival
في 24 يونيو 2022، تعرضت XCarnival لهجوم وتكبدت خسائر قدرها 3.8 مليون دولار.
سبب الثغرة: عدم دقة التحقق من سجلات الرهن. لم يقم عقد XNFT بإجراء فحوصات كافية أثناء الرهن والإقراض، مما أدى إلى إمكانية إعادة استخدام سجلات الرهن غير الصالحة.
مشكلات الأمان الشائعة في عقود NFT
مشكلة التحقق من التوقيع: يفتقر إلى التحقق من التنفيذ المتكرر، والتحقق من التوقيع ليس صارماً.
ثغرات منطقية: قيود سك العملة غير صحيحة، وهناك ثغرات في عملية المزايدة.
هجمات إعادة الدخول ERC721/ERC1155: قد تؤدي وظيفة إشعار التحويل إلى إعادة الدخول.
التفويض المفرط: يتطلب تفويضًا عالميًا بينما يحتاج فقط إلى تفويض رمز واحد.
التلاعب بالأسعار: تعتمد الأسعار على عوامل يمكن أن تتلاعب بها القروض الفورية.
بناءً على ما سبق، فإن مشكلات أمان عقود NFT معقدة ومتنوعة، مما يجعل التدقيق المهني في غاية الأهمية. يجب على فريق المشروع أن يولي اهتمامًا بأمان العقود، وأن يقيم بشكل شامل المخاطر المحتملة، لضمان أمان أصول المستخدمين.