NFT Sözleşme Güvenliği: 2022'nin İlk Yarısı Olay Analizi ve Yaygın Sorunlar Üzerine Tartışma
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıklıkla meydana geldi ve büyük kayıplara yol açtı. Bu makalede, bu dönemdeki NFT sözleşmeleri güvenlik durumu derinlemesine analiz edilecek, tipik vakalar ve yaygın sorunlar tartışılacaktır.
İlk Yarı NFT Güvenlik Olayları Özeti
Blockchain güvenlik izleme verilerine göre, 2022'nin ilk yarısında toplamda 10 büyük NFT güvenlik olayı meydana geldi ve toplam zarar yaklaşık 6490 milyon ABD doları oldu. Ana saldırı yöntemleri arasında sözleşme açıklarından yararlanma, özel anahtar sızıntıları ve oltalama gibi yöntemler bulunmaktadır. Dikkate değer olan, Discord platformundaki oltalama saldırılarının özellikle yaygın olmasıdır; neredeyse her gün kullanıcılar bu nedenle zarar görmekte.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu bir siber saldırıya uğradı, 100'den fazla NFT çalındı.
Açık neden: Sözleşme mantığının karmaşası. TreasureMarketplaceBuyer sözleşmesinin buyItem fonksiyonu, token türünü kontrol etmediği için, ERC-20 token ödemesi 0 olduğunda NFT satın alınmasına izin veriyor. Bu, ERC-1155 ve ERC-721 tokenlerinin karışık kullanılmasından kaynaklanıyor ve miktar kavramı olmayan ERC-721'ye özel bir işlem yapılmamış.
APE Coin airdrop olayı
17 Mart 2022'de, bir hacker, flash kredisi aracılığıyla 60.000'den fazla APE Coin airdrop'u elde etti.
Hata nedeni: Sözleşme mantığı hatası. Airdrop sözleşmesi, kullanıcıların NFT üzerindeki mülkiyetini yalnızca balanceOf() ile belirliyor, bu da yalnızca anlık durumu alabiliyor ve bu durum flash loan ile manipüle edilebilir.
Revest Finance olayı
27 Mart 2022'de, Revest Finance hack saldırısına uğradı ve 120.000 dolar kaybetti.
Açıklama: ERC-1155 yeniden giriş saldırısı. Revest sözleşmesi, FNFT teminat varlıkları eklenirken yeniden giriş açığına sahiptir, bu durum mintleme fonksiyonundaki dış çağrılardan kaynaklanmaktadır.
NBA koyun yünü olayı
21 Nisan 2022, NBA projesi hacker saldırısına uğradı.
Açığın Sebebi: İmza doğrulama hatası. The_Association_Sales sözleşmesinde beyaz liste doğrulaması sırasında imza sahteciliği ve yeniden kullanma sorunları bulunmaktadır.
Akutar olayı
23 Nisan 2022'de, Akutar projesi AkuAuction sözleşmesindeki bir güvenlik açığı 11.000 ETH'nin kilitlenmesine neden oldu.
Hata nedeni: İade mantığı eksikliği. İade fonksiyonu kötü niyetli olarak engellenme riski taşımakta ve kullanıcıların birden fazla teklif verme durumunu göz önünde bulundurmamaktadır, bu da iadelerin gerçekleştirilememesine neden olmaktadır.
XCarnival olayı
24 Haziran 2022'de, XCarnival saldırıya uğradı ve 3.8 milyon dolar kaybetti.
Hata nedeni: Teminat kayıtlarının yeterince doğrulanmaması. XNFT sözleşmesi, teminat verme ve borç alma işlemlerinde yeterli kontrol sağlamadığı için geçersiz teminat kayıtlarının tekrar kullanılmasına neden olmuştur.
NFT sözleşmelerinde yaygın güvenlik sorunları
İmza doğrulama sorunu: Tekrar eden doğrulamaların eksikliği, imza kontrolü yeterince sıkı değil.
Mantık Açığı: Madeni para basma kısıtlamaları uygun değil, ihale sürecinde açıklar mevcut.
ERC721/ERC1155 yeniden giriş saldırısı: Transfer bildirim fonksiyonu yeniden girmeye neden olabilir.
Aşırı Yetkilendirme: Küresel yetki talep ediyor ancak aslında yalnızca bir token yetkisi gerekiyor.
Fiyat manipülasyonu: Fiyat, anlık kredi ile manipüle edilebilen faktörlere bağlıdır.
Özetle, NFT sözleşmelerinin güvenlik sorunları karmaşık ve çeşitlidir, bu nedenle profesyonel denetim son derece önemlidir. Proje ekipleri sözleşme güvenliğine önem vermeli, potansiyel riskleri kapsamlı bir şekilde değerlendirmeli ve kullanıcı varlıklarının güvenliğini sağlamalıdır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
22 Likes
Reward
22
7
Share
Comment
0/400
BackrowObserver
· 07-05 13:17
Bu enayilere insanları enayi yerine koymak gerçekten acımasız.
View OriginalReply0
TokenVelocityTrauma
· 07-05 09:51
Yine bir grup enayiyi insanları enayi yerine koymak.
View OriginalReply0
SmartContractRebel
· 07-02 15:48
Bu sözleşmenin denetimi yapılmıyor mu? Uyan artık.
View OriginalReply0
metaverse_hermit
· 07-02 15:41
Ne kadar çalındı? Aç kaldım.
View OriginalReply0
MetaverseLandlord
· 07-02 15:41
Gerçekten güzel. Enayiler kesime hoş geldiniz~
View OriginalReply0
MEVictim
· 07-02 15:38
Sözleşme Rekt, aldanmayın!
View OriginalReply0
RektButSmiling
· 07-02 15:27
Yine bir grup enayiler tarafından insanları enayi yerine koymak oldu~
NFT sözleşmesi güvenlik analizi: 2022 yılının ilk yarısında tipik olaylar ve yaygın açıkların tartışması
NFT Sözleşme Güvenliği: 2022'nin İlk Yarısı Olay Analizi ve Yaygın Sorunlar Üzerine Tartışma
2022 yılının ilk yarısında, NFT alanında güvenlik olayları sıklıkla meydana geldi ve büyük kayıplara yol açtı. Bu makalede, bu dönemdeki NFT sözleşmeleri güvenlik durumu derinlemesine analiz edilecek, tipik vakalar ve yaygın sorunlar tartışılacaktır.
İlk Yarı NFT Güvenlik Olayları Özeti
Blockchain güvenlik izleme verilerine göre, 2022'nin ilk yarısında toplamda 10 büyük NFT güvenlik olayı meydana geldi ve toplam zarar yaklaşık 6490 milyon ABD doları oldu. Ana saldırı yöntemleri arasında sözleşme açıklarından yararlanma, özel anahtar sızıntıları ve oltalama gibi yöntemler bulunmaktadır. Dikkate değer olan, Discord platformundaki oltalama saldırılarının özellikle yaygın olmasıdır; neredeyse her gün kullanıcılar bu nedenle zarar görmekte.
Tipik Güvenlik Olayı Analizi
TreasureDAO olayı
3 Mart 2022'de, TreasureDAO ticaret platformu bir siber saldırıya uğradı, 100'den fazla NFT çalındı.
Açık neden: Sözleşme mantığının karmaşası. TreasureMarketplaceBuyer sözleşmesinin buyItem fonksiyonu, token türünü kontrol etmediği için, ERC-20 token ödemesi 0 olduğunda NFT satın alınmasına izin veriyor. Bu, ERC-1155 ve ERC-721 tokenlerinin karışık kullanılmasından kaynaklanıyor ve miktar kavramı olmayan ERC-721'ye özel bir işlem yapılmamış.
APE Coin airdrop olayı
17 Mart 2022'de, bir hacker, flash kredisi aracılığıyla 60.000'den fazla APE Coin airdrop'u elde etti.
Hata nedeni: Sözleşme mantığı hatası. Airdrop sözleşmesi, kullanıcıların NFT üzerindeki mülkiyetini yalnızca balanceOf() ile belirliyor, bu da yalnızca anlık durumu alabiliyor ve bu durum flash loan ile manipüle edilebilir.
Revest Finance olayı
27 Mart 2022'de, Revest Finance hack saldırısına uğradı ve 120.000 dolar kaybetti.
Açıklama: ERC-1155 yeniden giriş saldırısı. Revest sözleşmesi, FNFT teminat varlıkları eklenirken yeniden giriş açığına sahiptir, bu durum mintleme fonksiyonundaki dış çağrılardan kaynaklanmaktadır.
NBA koyun yünü olayı
21 Nisan 2022, NBA projesi hacker saldırısına uğradı.
Açığın Sebebi: İmza doğrulama hatası. The_Association_Sales sözleşmesinde beyaz liste doğrulaması sırasında imza sahteciliği ve yeniden kullanma sorunları bulunmaktadır.
Akutar olayı
23 Nisan 2022'de, Akutar projesi AkuAuction sözleşmesindeki bir güvenlik açığı 11.000 ETH'nin kilitlenmesine neden oldu.
Hata nedeni: İade mantığı eksikliği. İade fonksiyonu kötü niyetli olarak engellenme riski taşımakta ve kullanıcıların birden fazla teklif verme durumunu göz önünde bulundurmamaktadır, bu da iadelerin gerçekleştirilememesine neden olmaktadır.
XCarnival olayı
24 Haziran 2022'de, XCarnival saldırıya uğradı ve 3.8 milyon dolar kaybetti.
Hata nedeni: Teminat kayıtlarının yeterince doğrulanmaması. XNFT sözleşmesi, teminat verme ve borç alma işlemlerinde yeterli kontrol sağlamadığı için geçersiz teminat kayıtlarının tekrar kullanılmasına neden olmuştur.
NFT sözleşmelerinde yaygın güvenlik sorunları
İmza doğrulama sorunu: Tekrar eden doğrulamaların eksikliği, imza kontrolü yeterince sıkı değil.
Mantık Açığı: Madeni para basma kısıtlamaları uygun değil, ihale sürecinde açıklar mevcut.
ERC721/ERC1155 yeniden giriş saldırısı: Transfer bildirim fonksiyonu yeniden girmeye neden olabilir.
Aşırı Yetkilendirme: Küresel yetki talep ediyor ancak aslında yalnızca bir token yetkisi gerekiyor.
Fiyat manipülasyonu: Fiyat, anlık kredi ile manipüle edilebilen faktörlere bağlıdır.
Özetle, NFT sözleşmelerinin güvenlik sorunları karmaşık ve çeşitlidir, bu nedenle profesyonel denetim son derece önemlidir. Proje ekipleri sözleşme güvenliğine önem vermeli, potansiyel riskleri kapsamlı bir şekilde değerlendirmeli ve kullanıcı varlıklarının güvenliğini sağlamalıdır.