Безопасность NFT-контрактов: Обзор событий первой половины 2022 года и ключевые моменты аудита

В первой половине 2022 года в области NFT произошло множество инцидентов безопасности, что привело к огромным экономическим потерям. Согласно данным одной блокчейн-безопасной платформы, в первой половине года произошло 10 основных инцидентов безопасности NFT, общие потери составили около 6490 миллионов долларов США. Основные методы атак включали использование уязвимостей контрактов, утечку приватных ключей и фишинг. Стоит отметить, что инциденты фишинга в Discord происходят почти ежедневно, многие пользователи понесли убытки из-за нажатия на фишинговые ссылки.

Анализ типичных инцидентов безопасности

Событие TreasureDAO

3 марта 2022 года платформа TreasureDAO была подвергнута хакерской атаке, в результате которой было украдено более 100 NFT. Уязвимость заключалась в функции buyItem контракта TreasureMarketplaceBuyer, где из-за отсутствия проверки типа токена можно было купить токены, когда сумма платежа в ERC-20 токенах равнялась 0. Эта проблема возникла из-за логической путаницы, вызванной смешиванием токенов ERC-1155 и ERC-721.

Событие аirdrop APE Coin

17 марта 2022 года хакеры получили более 60 000 монет APE Coin через flash-loan. Уязвимость обнаружилась в контракте airdrop AirdropGrapesToken, который проверял только мгновенное право собственности пользователя на NFT и не учитывал возможные последствия от flash-loan.

Событие Revest Finance

27 марта 2022 года Revest Finance подвергся атаке, в результате чего было потеряно около 120 000 долларов США. Уязвимость связана с повторным входом ERC-1155 и возникла в функции depositAdditionalToFNFT() контракта Revest.

NBA событие "халявы"

21 апреля 2022 года команда NBA подверглась атаке. В контракте The_Association_Sales возникли проблемы с подделкой и повторным использованием подписи при верификации в белом списке, не проводилась проверка уже использованных подписей и msg.sender.

Событие Akutar

23 апреля 2022 года контракт AkuAuction проекта Akutar был заблокирован из-за логической уязвимости, что привело к блокировке 11539 ETH (около 34 миллионов долларов США). Основные проблемы включают неверный дизайн функции возврата средств и отсутствие учета ситуации с многократными ставками пользователей.

XCarnival событие

24 июня 2022 года протокол кредитования NFT XCarnival подвергся атаке, в результате чего были потеряны около 3,8 миллиона долларов. В функции pledgeAndBorrow контракта XNFT существует логическая уязвимость, так как не проводилась эффективная проверка адреса xToken и состояния записи залога.

Часто задаваемые вопросы по аудиту NFT-контрактов

1. Подделка и повторное использование подписей:

   • Отсутствует проверка на повторное выполнение
   • Проверка подписи неразумная

2. Логическая ошибка:

   • Неправильный контроль общего объема эмиссии монет
   • Порядок сделок в процессе аукциона зависит от атак

3. Ребент атака ERC721/ERC1155:

   • Функция уведомления о переводе может привести к повторному входу

4. Слишком широкий объем полномочий:

   • Необходимость глобального авторизационного риска

5. Манипуляция ценами:

   • Цена NFT зависит от факторов, которые легко могут быть манипулированы

Учитывая частые случаи безопасности контрактов NFT, проектные команды должны уделять внимание аудиту безопасности контрактов, чтобы предотвратить потенциальные риски и защитить безопасность активов пользователей.