في النصف الأول من عام 2022، تكررت الحوادث الأمنية في مجال NFT، مما تسبب في خسائر اقتصادية كبيرة. ووفقًا للإحصائيات، كان هناك 10 حوادث أمنية رئيسية، بلغت إجمالي الخسائر حوالي 6490 مليون دولار. وكانت أساليب الهجوم الرئيسية تشمل استغلال ثغرات العقود، تسرب المفاتيح الخاصة، والصيد الاحتيالي. ومن الجدير بالذكر أن هجمات الصيد الاحتيالي على منصة Discord تحدث تقريبًا كل يوم، مما تسبب في خسائر ملحوظة للمستخدمين الأفراد.
تحليل الأحداث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO التجارية للاختراق، مما أدى إلى سرقة أكثر من 100 NFT. السبب الجذري للحادث هو الارتباك المنطقي الناجم عن الاستخدام المختلط لرموز ERC-1155 و ERC-721. لم يميز العقد عند معالجة أسعار شراء الرموز بين خصائص هذين النوعين من الرموز، حيث اعتبر خطأً رموز ERC-721 كرموز ذات مفهوم الكمية.
حدث توزيع APE Coin
في 17 مارس 2022، تمكن قراصنة من الحصول على أكثر من 60,000 قطعة من APE Coin عبر قرض فوري. كانت الثغرة موجودة في عقد الإطلاق، حيث كان العقد يعتمد فقط على فحص رصيد NFT الحالي للمستخدم لتحديد أهليته للإطلاق، وهذه الطريقة سهلة التلاعب من خلال القرض الفوري.
فعالية Revest Finance
في 27 مارس 2022، تعرضت Revest Finance لهجوم، مما أدى إلى خسارة حوالي 120,000 دولار أمريكي. كان هذا هجومًا نموذجيًا لإعادة الدخول على ERC-1155. خلال عملية سك FNFT، فشل العقد في معالجة الزيادة الذاتية والتحقق من وجود معرف الرمز بشكل صحيح، مما أدى إلى ثغرة إعادة الدخول.
حدث استغلال NBA
في 21 أبريل 2022، تعرض مشروع NBA لهجوم. تكمن المشكلة في آلية توقيع التحقق من القائمة البيضاء، حيث توجد مشكلتان رئيسيتان: انتحال التوقيع وإعادة استخدامه. لم يخزن العقد التوقيعات المستخدمة، ولم يتم التحقق من مرسل الرسالة أثناء التحقق، مما سمح للمهاجمين بإعادة استخدام التوقيع أو انتحاله.
حدث أكوتار
في 23 أبريل 2022، تم قفل أصول تقدر بحوالي 34 مليون دولار بسبب ثغرة في عقد ذكي لمشروع Akutar. كانت المشكلة الرئيسية في تصميم منطق وظيفة الاسترداد بشكل غير صحيح، مما أدى إلى عدم القدرة على معالجة حالات المزايدة المتعددة، كما كانت سهلة الانقطاع عن طريق طرف خبيث.
حدث XCarnival
في 24 يونيو 2022، تعرضت XCarnival لهجوم، مما أدى إلى خسارة حوالي 3.8 مليون دولار. كانت الثغرة في عدم إجراء العقد فحصاً صارماً لعناوين NFT المرهونة وحالة سجلات الرهن، مما سمح للمهاجمين باستخدام سجلات الرهن غير الصالحة بشكل متكرر للحصول على قروض.
مشكلات الأمان الشائعة في عقود NFT
انتحال التوقيع وإعادة استخدامه: عدم وجود فحص لإعادة استخدام التوقيع، ومنطق التحقق من التوقيع غير دقيق.
ثغرة منطقية: طريقة سك خاصة تتجاوز الحد الأقصى للكمية، وترتيب المعاملات خلال عملية المزاد يعتمد على الهجوم.
هجوم إعادة الإدخال ERC721/ERC1155: قد يؤدي إلى مخاطر إعادة الإدخال في وظيفة إشعار التحويل.
التفويض المفرط: يتطلب من المستخدمين إجراء تفويض شامل غير ضروري، مما يزيد من خطر سرقة الـ NFT.
التلاعب في الأسعار: تعتمد أسعار NFT على مؤشرات يسهل التلاعب بها، مما قد يؤدي إلى تصفية غير عادية.
نظرًا لتعقيد عقود NFT والمخاطر المحتملة، يجب على فريق المشروع أن يولي أهمية لأعمال تدقيق أمان العقود الذكية، وتوظيف فريق أمان محترف لإجراء فحص شامل، وذلك من أجل الحماية من الهجمات والخسائر المحتملة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 8
أعجبني
8
8
مشاركة
تعليق
0/400
ser_ngmi
· 07-18 10:08
又是discord اقتطاف القسائم= =
شاهد النسخة الأصليةرد0
DefiPlaybook
· 07-16 19:28
البيانات مؤلمة، خسارة 6490w دولار أمريكي في ستة أشهر
شاهد النسخة الأصليةرد0
MemeTokenGenius
· 07-15 14:56
في هذه العصر، من الصعب حقًا كسب المال النظيف.
شاهد النسخة الأصليةرد0
OptionWhisperer
· 07-15 14:50
بعيدًا عن المعايير، فقط لأن الشيفرة كُتبت بشكل سيء، فقد فقدنا ما يقرب من مليار.
شاهد النسخة الأصليةرد0
GasFeeCryer
· 07-15 14:50
تم سحب مئات الملايين من عقد ذكي آخر، تبا.
شاهد النسخة الأصليةرد0
GasFeeCry
· 07-15 14:47
又来一波 يُستغل بغباء.了呗
شاهد النسخة الأصليةرد0
VibesOverCharts
· 07-15 14:45
لصوص يجمعون المال، اللاعبون يعانون~
شاهد النسخة الأصليةرد0
DaoDeveloper
· 07-15 14:35
لقد قمت بتدقيق استغلال treasuredao للتو... حقًا هذه الثغرات في خلط erc تتجاوز الحدود بشكل جدي
تكرار الثغرات الأمنية في عقود NFT ، خسائر تقترب من 65 مليون دولار في النصف الأول من عام 2022
تحليل ثغرات أمان عقود NFT والحالات النموذجية
في النصف الأول من عام 2022، تكررت الحوادث الأمنية في مجال NFT، مما تسبب في خسائر اقتصادية كبيرة. ووفقًا للإحصائيات، كان هناك 10 حوادث أمنية رئيسية، بلغت إجمالي الخسائر حوالي 6490 مليون دولار. وكانت أساليب الهجوم الرئيسية تشمل استغلال ثغرات العقود، تسرب المفاتيح الخاصة، والصيد الاحتيالي. ومن الجدير بالذكر أن هجمات الصيد الاحتيالي على منصة Discord تحدث تقريبًا كل يوم، مما تسبب في خسائر ملحوظة للمستخدمين الأفراد.
تحليل الأحداث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO التجارية للاختراق، مما أدى إلى سرقة أكثر من 100 NFT. السبب الجذري للحادث هو الارتباك المنطقي الناجم عن الاستخدام المختلط لرموز ERC-1155 و ERC-721. لم يميز العقد عند معالجة أسعار شراء الرموز بين خصائص هذين النوعين من الرموز، حيث اعتبر خطأً رموز ERC-721 كرموز ذات مفهوم الكمية.
حدث توزيع APE Coin
في 17 مارس 2022، تمكن قراصنة من الحصول على أكثر من 60,000 قطعة من APE Coin عبر قرض فوري. كانت الثغرة موجودة في عقد الإطلاق، حيث كان العقد يعتمد فقط على فحص رصيد NFT الحالي للمستخدم لتحديد أهليته للإطلاق، وهذه الطريقة سهلة التلاعب من خلال القرض الفوري.
فعالية Revest Finance
في 27 مارس 2022، تعرضت Revest Finance لهجوم، مما أدى إلى خسارة حوالي 120,000 دولار أمريكي. كان هذا هجومًا نموذجيًا لإعادة الدخول على ERC-1155. خلال عملية سك FNFT، فشل العقد في معالجة الزيادة الذاتية والتحقق من وجود معرف الرمز بشكل صحيح، مما أدى إلى ثغرة إعادة الدخول.
حدث استغلال NBA
في 21 أبريل 2022، تعرض مشروع NBA لهجوم. تكمن المشكلة في آلية توقيع التحقق من القائمة البيضاء، حيث توجد مشكلتان رئيسيتان: انتحال التوقيع وإعادة استخدامه. لم يخزن العقد التوقيعات المستخدمة، ولم يتم التحقق من مرسل الرسالة أثناء التحقق، مما سمح للمهاجمين بإعادة استخدام التوقيع أو انتحاله.
حدث أكوتار
في 23 أبريل 2022، تم قفل أصول تقدر بحوالي 34 مليون دولار بسبب ثغرة في عقد ذكي لمشروع Akutar. كانت المشكلة الرئيسية في تصميم منطق وظيفة الاسترداد بشكل غير صحيح، مما أدى إلى عدم القدرة على معالجة حالات المزايدة المتعددة، كما كانت سهلة الانقطاع عن طريق طرف خبيث.
حدث XCarnival
في 24 يونيو 2022، تعرضت XCarnival لهجوم، مما أدى إلى خسارة حوالي 3.8 مليون دولار. كانت الثغرة في عدم إجراء العقد فحصاً صارماً لعناوين NFT المرهونة وحالة سجلات الرهن، مما سمح للمهاجمين باستخدام سجلات الرهن غير الصالحة بشكل متكرر للحصول على قروض.
مشكلات الأمان الشائعة في عقود NFT
انتحال التوقيع وإعادة استخدامه: عدم وجود فحص لإعادة استخدام التوقيع، ومنطق التحقق من التوقيع غير دقيق.
ثغرة منطقية: طريقة سك خاصة تتجاوز الحد الأقصى للكمية، وترتيب المعاملات خلال عملية المزاد يعتمد على الهجوم.
هجوم إعادة الإدخال ERC721/ERC1155: قد يؤدي إلى مخاطر إعادة الإدخال في وظيفة إشعار التحويل.
التفويض المفرط: يتطلب من المستخدمين إجراء تفويض شامل غير ضروري، مما يزيد من خطر سرقة الـ NFT.
التلاعب في الأسعار: تعتمد أسعار NFT على مؤشرات يسهل التلاعب بها، مما قد يؤدي إلى تصفية غير عادية.
نظرًا لتعقيد عقود NFT والمخاطر المحتملة، يجب على فريق المشروع أن يولي أهمية لأعمال تدقيق أمان العقود الذكية، وتوظيف فريق أمان محترف لإجراء فحص شامل، وذلك من أجل الحماية من الهجمات والخسائر المحتملة.