🎉 #Gate Alpha 第三届积分狂欢节 & ES Launchpool# 聯合推廣任務上線!
本次活動總獎池:1,250 枚 ES
任務目標:推廣 Eclipse($ES)Launchpool 和 Alpha 第11期 $ES 專場
📄 詳情參考:
Launchpool 公告:https://www.gate.com/zh/announcements/article/46134
Alpha 第11期公告:https://www.gate.com/zh/announcements/article/46137
🧩【任務內容】
請圍繞 Launchpool 和 Alpha 第11期 活動進行內容創作,並曬出參與截圖。
📸【參與方式】
1️⃣ 帶上Tag #Gate Alpha 第三届积分狂欢节 & ES Launchpool# 發帖
2️⃣ 曬出以下任一截圖:
Launchpool 質押截圖(BTC / ETH / ES)
Alpha 交易頁面截圖(交易 ES)
3️⃣ 發布圖文內容,可參考以下方向(≥60字):
簡介 ES/Eclipse 項目亮點、代幣機制等基本信息
分享你對 ES 項目的觀點、前景判斷、挖礦體驗等
分析 Launchpool 挖礦 或 Alpha 積分玩法的策略和收益對比
🎁【獎勵說明】
評選內容質量最優的 10 位 Launchpool/Gate
NFT合約安全頻現漏洞 2022上半年損失近6500萬美元
NFT合約安全漏洞分析及典型案例
2022年上半年,NFT領域安全事件頻發,造成重大經濟損失。據統計,主要安全事件共10起,總損失約6490萬美元。攻擊方式主要包括合約漏洞利用、私鑰泄露和釣魚等。值得注意的是,Discord平台釣魚攻擊幾乎每天都在發生,給個人用戶造成了不小的損失。
典型安全事件分析
TreasureDAO事件
2022年3月3日,TreasureDAO交易平台遭到攻擊,導致100多個NFT被盜。事件的根本原因是ERC-1155和ERC-721代幣混用引發的邏輯混亂。合約在處理代幣購買價格時,沒有區分這兩種代幣的特性,錯誤地將ERC-721代幣視爲有數量概念的代幣。
APE Coin空投事件
2022年3月17日,黑客通過閃電貸獲取了超過6萬枚APE Coin空投。漏洞存在於空投合約中,合約僅通過檢查用戶當前的NFT餘額來判定空投資格,而這種方式容易被閃電貸操縱。
Revest Finance事件
2022年3月27日,Revest Finance遭受攻擊,損失約12萬美元。這是一起典型的ERC-1155重入攻擊。在FNFT鑄造過程中,合約未能正確處理代幣ID的自增和存在性檢查,導致了重入漏洞。
NBA薅羊毛事件
2022年4月21日,NBA項目遭遇攻擊。問題出在白名單驗證的籤名機制上,存在籤名冒用和復用兩個主要問題。合約未存儲已使用的籤名,且在驗證時未檢查消息發送者,使得攻擊者可以重復使用或冒用籤名。
Akutar事件
2022年4月23日,Akutar項目因智能合約漏洞,導致約3400萬美元資產被鎖死。主要問題在於退款函數的邏輯設計不當,無法處理多次投標情況,且容易被惡意中斷。
XCarnival事件
2022年6月24日,XCarnival遭攻擊,損失約380萬美元。漏洞在於合約未對質押的NFT地址和抵押記錄狀態進行嚴格檢查,使得攻擊者可以反復使用無效抵押記錄進行借貸。
NFT合約常見安全問題
籤名冒用和復用:缺乏籤名重復使用檢查,籤名驗證邏輯不嚴謹。
邏輯漏洞:特殊鑄幣方式繞過總量限制,拍賣過程中的交易順序依賴攻擊。
ERC721/ERC1155重入攻擊:在轉帳通知功能中可能引發重入風險。
過度授權:要求用戶進行不必要的全面授權,增加NFT被盜風險。
價格操縱:NFT價格依賴易被操縱的指標,可能導致異常清算。
鑑於NFT合約的復雜性和潛在風險,項目方應重視智能合約的安全審計工作,聘請專業安全團隊進行全面檢查,以防範可能的攻擊和損失。