- الموضوع
31k درجة الشعبية
20k درجة الشعبية
62k درجة الشعبية
31k درجة الشعبية
4k درجة الشعبية
113k درجة الشعبية
29k درجة الشعبية
28k درجة الشعبية
7k درجة الشعبية
18k درجة الشعبية
- تثبيت
31k درجة الشعبية
20k درجة الشعبية
62k درجة الشعبية
31k درجة الشعبية
4k درجة الشعبية
113k درجة الشعبية
29k درجة الشعبية
28k درجة الشعبية
7k درجة الشعبية
18k درجة الشعبية
تحذير أمان عقد NFT: خسائر بقيمة 64900000 دولار في 10 أحداث خلال النصف الأول من عام 2022
أمان عقود NFT: مراجعة الأحداث ونقاط التدقيق في النصف الأول من عام 2022
شهد النصف الأول من عام 2022 حدوث العديد من حوادث الأمان في مجال NFT، مما تسبب في خسائر اقتصادية كبيرة. وفقًا لمنصة أمان blockchain معينة، حدثت 10 حوادث أمان رئيسية في النصف الأول من العام، بلغت إجمالي الخسائر حوالي 6490 مليون دولار. وكانت أساليب الهجوم الرئيسية تشمل استغلال ثغرات العقود، تسرب المفاتيح الخاصة، والتصيد. ومن الجدير بالذكر أن حوادث التصيد في Discord تحدث تقريبًا كل يوم، حيث تكبد العديد من المستخدمين خسائر بسبب نقرهم على روابط التصيد.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO للهجوم من قبل قراصنة، مما أدى إلى سرقة أكثر من 100 NFT. كانت الثغرة موجودة في دالة buyItem لعقد TreasureMarketplaceBuyer، حيث أدى نقص في التحقق من نوع الرمز إلى إمكانية شراء الرموز عندما يكون المبلغ المدفوع من رموز ERC-20 يساوي 0. كانت هذه المشكلة ناتجة عن الارتباك المنطقي الناجم عن الاستخدام المختلط لرموز ERC-1155 و ERC-721.
حدث توزيع عملة APE
في 17 مارس 2022، حصل هاكر على أكثر من 60,000 قطعة من APE Coin من خلال قرض فوري. كان الخلل موجودًا في عقد توزيع AirdropGrapesToken، حيث كان العقد يتحقق فقط من حالة الملكية الفورية للمستخدم لـ NFT، دون مراعاة التأثيرات المحتملة للقرض الفوري.
فعالية Revest Finance
في 27 مارس 2022، تعرضت Revest Finance لهجوم، مما أدى إلى خسارة حوالي 120,000 دولار أمريكي. كانت الثغرة تتعلق بهجوم إعادة الدخول على ERC-1155، وظهرت في دالة depositAdditionalToFNFT() لعقد Revest.
حدث NBA لاقتناص الفرص
في 21 أبريل 2022، تعرض فريق مشروع NBA لهجوم. كان هناك مشكلة في تزوير وإعادة استخدام التوقيع في عقد The_Association_Sales أثناء التحقق من القائمة البيضاء، ولم يتم تخزين التوقيع المستخدم سابقاً والتحقق من msg.sender.
حدث أكوتار
في 23 أبريل 2022، تم قفل 11539 ETH (حوالي 34 مليون دولار) بسبب ثغرة منطقية في عقد AkuAuction لمشروع Akutar. تشمل المشكلات الرئيسية تصميم وظيفة رد الأموال بشكل غير مناسب وعدم مراعاة حالات المزايدة المتعددة من قبل المستخدمين.
حدث XCarnival
في 24 يونيو 2022، تعرض بروتوكول إقراض NFT XCarnival للاختراق، مما أدى إلى خسارة حوالي 3.8 مليون دولار. يحتوي دالة pledgeAndBorrow لعقد XNFT على ثغرة منطقية، حيث لم يتم التحقق بشكل فعال من عنوان xToken وحالة السجل المرهون.
الأسئلة الشائعة حول تدقيق عقود NFT
انتحال الهوية والتكرار:
ثغرة منطقية:
هجوم إعادة الدخول على ERC721/ERC1155:
نطاق التفويض كبير جدًا:
تحكم الأسعار:
نظرًا لتكرار حوادث أمان عقود NFT، يجب على فريق المشروع أن يولي اهتمامًا لعمل تدقيق أمان العقود، من أجل الوقاية من المخاطر المحتملة وحماية أصول المستخدمين.