宇宙链 宇宙链
Ctrl+D收藏宇宙链

黑客不会“隐入尘烟” 你的NFT合约安全如何保证?

作者:

时间:1900/1/1 0:00:00

点击阅读:2022年上半年Web3安全态势深度研报

在我们发布的《2022年上半年Web3安全态势深度研报》中,我们已经从各个维度展示和分析了区块链安全领域的总体态势。今天,我们将针对NFT合约安全展开分析,看看在NFT合约在审计过程中都会出现哪些常见问题呢?

上半年NFT领域安全事件的总损失有多少?

据成都链安鹰眼区块链安全态势感知平台监控显示,2022年上半年,共监测到NFT领域主要安全事件10起,统计到的损失约为6490万美元,主要攻击方式为合约漏洞利用、私钥泄露、钓鱼等。而上半年Discord钓鱼事件频发,几乎每天都有Discord服务器受到攻击,个人用户因点击钓鱼链接而遭受损失的情况频繁发生。

Axie Infinity:此次黑客事件是去年12月的社会工程攻击和人为错误所致:金色财经消息,NFT游戏Axie Infinity联合创始人兼COOPsycheout发推表示,内部网络目前正在进行深入的取证审查,此次黑客事件是2021年12月的社会工程攻击和人为错误所致。SkyMavis的技术是可靠的,将在Ronin网络添加几个新的验证者节点,以进一步去中心化网络。Axie Infinity致力于确保收回或偿还所有耗尽的资金,正在继续与利益相关者进行对话,以确定最佳行动方案。[2022/3/30 14:27:22]

上半年NFT典型安全事件?

TreasureDAO事件

加密投资基金遭遇黑客攻击 26.6万名用户数据被泄露:一家加密投资基金Trident Crypto Fund遭遇重大数据泄露,这是加密货币领域遭遇的最新一起隐私泄露事件。网络安全公司DeviceLock的首席技术官Ashot Oganesyan表示,在该基金注册的约26.6万人的个人数据在该事件发生后被发布在多个文件共享网站上。Oganesyan说,被盗的数据库包括电子邮件地址、手机号码、加密密码和IP地址,在2月20日发布在网上,同时还公布了网站的漏洞描述,这使得这次攻击成为可能。他补充说,3月3日,不知名的黑客解密并公布了12万个加密的数据集。该俄罗斯媒体联系了数据库中的一位用户,他证实自己与Trident Crypto Fund有关联,不过他只注册了该公司主办的一个研讨会,没有投资。该基金没有在网站上列出其团队成员,也没有在LinkedIn上露面。目前还不清楚该基金的注册地或具体位置。(Coindesk)[2020/3/5]

2022年3月3日,TreasureDAO交易平台遭到黑客攻击,造成100多个NFT被盗。

动态 | 波场LuckLambo104竞猜游戏持续遭黑客交易回滚攻击:PeckShield安全盾风控平台DAppShield监测到昨日10点至23点,TKnzni开头的黑客通过创建攻击合约的方式对TGsyJF开头的LuckLambo104合约地址持续发起交易回滚攻击,共计获利6,588个TRX。PeckShield安全人员进一步研究发现,该合约创建于02月01日23点,上线第二天即遭到攻击,目前合约余额已归零 。PeckShield在此提醒,DApp开发者在遭受异常攻击时,应建立一键暂停的游戏运营机制,尤其是过滤合约玩家,游戏玩家也应及时停止参与正在受攻击的游戏,避免造成更大的数字资产损失。[2020/2/3]

扩展阅读:怪事?盗了又归还?TreasureDAO安全事件分析

漏洞原因:逻辑漏洞

该漏洞存在于TreasureMarketplaceBuyer合约中,该合约的buyItem函数在传入_quantity参数后,并没有做代币类型判断,直接将_quantity与_pricePerItem相乘计算出了totalPrice,因此safeTransferFrom函数可以在ERC-20代币支付数额只有0的情况下,调用TreasureMarketplace合约的buyItem函数来进行代币购买。

动态 | EOS、BET再次遭到黑客攻击,被盗资金已被交易所锁定:据 IMEOS 报道, EOSBET 电报消息称 EOS BET 再次遭到黑客攻击,资金被盗至 Bitfinex,目前已被交易所锁定,从今日下午两点开始, EOS、BET合约服务暂停。[2018/10/15]

本次安全事件主要原因是ERC-1155代币和ERC-721代币混用导致的逻辑混乱,ERC-721代币并没有数量的概念,但是合约却使用了数量来计算代币购买价格,且最后在代币转账的实现中也未进行逻辑分离。

APECoin空投事件

2022年3月17日,黑客通过闪电贷拿到了超过6万的APECoin空投。

漏洞原因:逻辑漏洞

该漏洞存在于AirdropGrapesToken空投合约中,由于其使用alpha.balanceOf()和beta.balanceOf()判定调用者对BAYC/MAYCNFT的所有权。而这种方式仅能获取到用户对该NFT所有权的瞬时状态,但该瞬时状态可以通过闪电贷借入进行操控。攻击者利用该漏洞,以闪电贷借出BAYCNFT并获取对应的空投。

日媒称黑客已洗白价值5.34亿美元的被盗新经币:据日本媒体报道,东京网络安全公司表示通过对被盗NEM交易记录分析,现在大多数被盗的新经币已经通过暗网渠道洗清。1月26日,日本比特币交易所Coincheck遭黑客攻击,交易所内5. 23 亿个NEM币被盗,价值5. 3 亿美元,约 26 万用户受害。这次被盗是继2014年Mt.Gox破产事件后,日本加密货币史上最大的黑客盗币事件。[2018/3/28]

RevestFinance事件

2022年3月27日,RevestFinance项目遭遇黑客攻击,损失余额12万美元。

扩展阅读:老调重弹,ERC1155的重入攻击又“现身”,RevestFinance被攻击事件简析

漏洞原因:ERC-1155重入

该漏洞存在于Revest合约中,当用户采用depositAdditionalToFNFT()追加FNFT的抵押资产时,合约需要将先把之前的FNFT销毁,之后再铸造新的FNFT。但是在铸造时,由于min()函数中未判断需铸造的FNFT是否已经存在,并且状态变量fnftId自增在_mint()函数后。而_min()中存在ERC-1155中的隐藏外部调用_doSafeTransferAcceptanceCheck(),造成了重入漏洞。

NBA薅羊毛事件

2022年4月21日,NBA项目方遭遇黑客攻击。

漏洞原因:签名冒用和复用

该漏洞存在于The_Association_Sales合约中,项目当在采用签名校验的方式验证白名单时,主要存在两个安全问题:签名冒用和签名复用。其中签名复用问题是由于项目方并未在合约中存储已经使用过的签名,造成签名可以被攻击者重复多次使用;签名冒用的问题是由于vDatamemory参数info在传参时未进行msg.sender校验导致签名可冒用。

Akutar事件

2022年4月23日,NFT项目方Akutar的AkuAuction合约由于智能合约本身漏洞,导致11539ETH被锁死在合约中。

扩展阅读:NFT项目惊现低级漏洞,合约未审计导致3400万美元资产被锁死——Akutar事件分析

漏洞原因:逻辑漏洞

该合约存在两个逻辑漏洞,第一是退款函数processRefunds使用call函数进行退款操作,并且把退款结果作为require判定条件,如果攻击者在fallback中进行恶意revert会导致整个合约的退款操作无法继续进行。第二个漏洞是造成此次事件的根本原因,即退款函数中存在的两个判断条件,由于没有考虑到一个用户可以投标多个NFT的情况,使得项目方后续的退款操作永远无法执行。

XCarnival事件

2022年6月24日,NFT借贷协议XCarnival遭到攻击,黑客获利3087枚以太坊。

扩展阅读:NFT借贷平台需警惕,XCarnival被攻击事件给我们哪些启示?

漏洞原因:逻辑漏洞

该漏洞存在于XNFT合约中,该合约中的pledgeAndBorrow函数在质押NFT时并未未检查攻击者传入的xToken地址是否为项目方白名单中的地址;并且在借贷时,并未对抵押记录的状态进行检测,导致攻击者反复使用无效的抵押记录进行借贷。

NFT合约在审计过程中都会出现哪些常见问题呢

上半年发生了多起NFT合约相关的安全事件,主要原因还是没有进行全面的安全审计,那么NFT合约在审计过程中都会出现哪些常见问题呢?

成都链安审计团队在审计NFT系列合约时,发现NFT合约主要的问题包括以下几类:

(1)签名冒用和复用:

签名数据缺少重复执行验证(例如:缺少用户nonce),导致可以重复使用签名数据铸造NFT;

签名检查不合理(例如:未检查签名者为零地址的情况),导致任意用户均可通过检查进行铸币;

(2)逻辑漏洞:

合约管理员可以通过私募等特殊方式铸币而不受总量的限制,导致NFT的实际量超过预期;

拍卖NFT时,获胜者可在领取交易顺序依赖攻击,修改竞拍价格,导致竞拍获胜者可以低价获取NFT;

(3)ERC721&ERC1155重入攻击

当合约使用转账通知功能时(onERC721Received函数),NFT合约会主动向转账的目标合约发送一次调用,那么这就可能导致重入攻击;

(4)授权范围过大

用户在进行质押或者拍卖时,仅需要对单个代币授权,但合约要求_operatorApprovals授权,一旦用户授权成功,那么就存在NFT被盗的风险。

(5)价格操控

NFT的价格依赖于某合约的代币持有量,导致攻击者利用闪电贷拉高代币价格,使得质押的NFT被异常清算。

从上半年发生的NFT合约安全事件来看,审计过程中经常出现的漏洞在实际中也会被黑客利用。因此寻求专业的安全公司对NFT合约进行审计也是非常有必要的。

标签:NFTFINNCEFNFbnft币的发行量Stargate FinanceKimbap Financefnf币会销毁吗

欧易交易所热门资讯
什么是以太坊:DappRadar的终极指南

本指南将深入探讨区块链、其原生加密货币、智能合约及其完整功能。以太坊很受欢迎,是互联网上搜索最多的词汇之一。以太坊构想于2013年,由VitalikButerin于2015年推出,是一个去中心化的开源区块链.

1900/1/1 0:00:00
金色观察 | 芝商所推出以太坊期权合约影响几何?

芝加哥2022年9月12日,全球领先的衍生品市场CME集团宣布推出以太坊期货期权。CME集团股票和外汇产品全球主管TimMcCourt表示,由于市场参与者期待即将到来的以太坊合并,这是一个可能改变游戏规则的最大的加密货币网络之一的更新.

1900/1/1 0:00:00
2022 DID终极指南

原文作者:?Dock 原文:标题DecentralizedIdentity:TheUltimateGuide2022 自2017年以来,专家团队一直在致力于构建最前沿的可验证凭证和去中心化身份技术.

1900/1/1 0:00:00
去中心化社交媒体:到底是未来 还是鸡肋?

人们越来越依赖社交媒体获取新闻、刊物和娱乐。然而,Facebook、Tiktok和Twitter等中心化参与者,因为利用用户的数据和有偏见的审核而受到抨击.

1900/1/1 0:00:00
远离 FUD | 一文了解 Avalanche 公链现状、生态项目和工具

现在FUD已经尘埃落定,熊市正适合决定谁是未来最大的赢家,这可能是我们进入Avalanche的好时机。如果你不知道应该从哪里开始了解Avalanche?这篇文章应该可以帮助到你.

1900/1/1 0:00:00
即将上线主网的 Humanode 有何不同

一人多钱包地址是加密世界的普遍现象,而账号真实性则切实影响着加密世界的运转。对普通用户来说,坐拥数百乃至数千钱包地址的“羊毛党”将他们的空投收益极大的稀释,对项目方来说让他们无法甄别出谁才是真正的用户.

1900/1/1 0:00:00