點擊閱讀:2022年上半年Web3安全態勢深度研報
在我們發布的《2022年上半年Web3安全態勢深度研報》中,我們已經從各個維度展示和分析了區塊鏈安全領域的總體態勢。今天,我們將針對NFT合約安全展開分析,看看在NFT合約在審計過程中都會出現哪些常見問題呢?
上半年NFT領域安全事件的總損失有多少?
據成都鏈安鷹眼區塊鏈安全態勢感知平臺監控顯示,2022年上半年,共監測到NFT領域主要安全事件10起,統計到的損失約為6490萬美元,主要攻擊方式為合約漏洞利用、私鑰泄露、釣魚等。而上半年Discord釣魚事件頻發,幾乎每天都有Discord服務器受到攻擊,個人用戶因點擊釣魚鏈接而遭受損失的情況頻繁發生。
PeckShield:NFT借貸平臺JPEG'd或遭黑客攻擊:7月30日消息,據PeckShield發推稱,NFT借貸平臺JPEG'd或遭黑客攻擊,損失金額達6106枚ETH,JPEG代幣短時下跌40%。[2023/7/30 16:07:20]
上半年NFT典型安全事件?
TreasureDAO事件
2022年3月3日,TreasureDAO交易平臺遭到黑客攻擊,造成100多個NFT被盜。
擴展閱讀:怪事?盜了又歸還?TreasureDAO安全事件分析
漏洞原因:邏輯漏洞
該漏洞存在于TreasureMarketplaceBuyer合約中,該合約的buyItem函數在傳入_quantity參數后,并沒有做代幣類型判斷,直接將_quantity與_pricePerItem相乘計算出了totalPrice,因此safeTransferFrom函數可以在ERC-20代幣支付數額只有0的情況下,調用TreasureMarketplace合約的buyItem函數來進行代幣購買。
研究:2022年Q1共發生78起黑客攻擊事件,損失約13億美元:4月27日消息,根據Atlas VPN團隊的新研究,區塊鏈黑客在2022年第一季度的78起攻擊事件中竊取了約13億美元。此外,針對以太坊和Solana生態系統的黑客攻擊僅在本季度就造成了超過10億美元的損失。這些數據來自Slowmist Hacked,該網站收集了公開承認的對區塊鏈項目的攻擊信息。
具體而言,在2022年第一季度,以太坊生態系統被黑客攻擊了18次,導致近6.36億美元的損失。本季度最嚴重的攻擊發生在3月底,當時Axie Infinity側鏈Ronin Network被黑客攻擊,損失高達6.1億美元。同期,Solana生態系統被黑客攻擊了五次,造成3.97億美元的損失。(Bitcoinist)[2022/4/27 5:14:41]
本次安全事件主要原因是ERC-1155代幣和ERC-721代幣混用導致的邏輯混亂,ERC-721代幣并沒有數量的概念,但是合約卻使用了數量來計算代幣購買價格,且最后在代幣轉賬的實現中也未進行邏輯分離。
DAO Maker為受黑客事件影響的用戶分兩個階段提供全額補償:8月18日消息,DAOMaker為最近受黑客事件影響的用戶推出補償計劃。所有受黑客攻擊影響的用戶都將得到全額補償,補償計劃將分2個階段進行。第一階段為下次SHO之前的8月19日,所有受到影響用戶的錢包中將會收到500美元空投,這筆錢能夠用來參與SHO或提現。第二階段,DAOMaker會在8月19日的一年后以DAO代幣的形式補償給用戶,并且會有10%的附加收益。2021年9月8日,DAOMaker會空投USDR代幣,代表1年后的贖回權,每個USDR代幣相當于1.1個DAO的價值。2022年9月8日,所有的USDR代幣將會部署在一個智能合約里,以供用戶換取DAO代幣,所有的USDR將在那時被銷毀。個DAO的價值。2022年9月8日,所有的USDR代幣將會部署在一個智能合約里,以供用戶換取DAO代幣,所有的USDR將在那時被銷毀。[2021/8/18 22:21:43]
APECoin空投事件
韓國金融服務委員會稱其對朝鮮黑客竊取加密貨幣不負責:韓國金融服務委員會(FSC)在回復國民議會事務委員會的書面質詢時表示,他們對由朝鮮政權支持的黑客在加密交易所平臺上發起的攻擊中竊取的加密貨幣不負責。根據這份報告,該監管機構辯稱,加密交易所不屬于他們的管轄范圍,但沒有提供有關此事的更多細節。他們把責任轉交給韓國外交部和韓國通信委員會(KCC)。但是,外交部和韓國通信委員會都認為,FSC仍然要對加密公司遭受的任何損失負責,因為這些都與金融有關。這兩個機構指出,FSC的職務是“負責管理和監督虛擬資產提供商”。(Fn News)[2020/10/24]
2022年3月17日,黑客通過閃電貸拿到了超過6萬的APECoin空投。
漏洞原因:邏輯漏洞
該漏洞存在于AirdropGrapesToken空投合約中,由于其使用alpha.balanceOf()和beta.balanceOf()判定調用者對BAYC/MAYCNFT的所有權。而這種方式僅能獲取到用戶對該NFT所有權的瞬時狀態,但該瞬時狀態可以通過閃電貸借入進行操控。攻擊者利用該漏洞,以閃電貸借出BAYCNFT并獲取對應的空投。
動態 | 盜取Upbit的黑客錢包將1萬余枚ETH轉移至未知錢包:據Whale Alert監測顯示,北京時間22:42,被標記為Upbit黑客錢包地址(0xb3a9b79開頭)轉移11001枚ETH至0xdf279a9d開頭的未知錢包地址。按照當前價格計算,價值約161萬美元。[2019/12/6]
RevestFinance事件
2022年3月27日,RevestFinance項目遭遇黑客攻擊,損失余額12萬美元。
擴展閱讀:老調重彈,ERC1155的重入攻擊又“現身”,RevestFinance被攻擊事件簡析
漏洞原因:ERC-1155重入
該漏洞存在于Revest合約中,當用戶采用depositAdditionalToFNFT()追加FNFT的抵押資產時,合約需要將先把之前的FNFT銷毀,之后再鑄造新的FNFT。但是在鑄造時,由于min()函數中未判斷需鑄造的FNFT是否已經存在,并且狀態變量fnftId自增在_mint()函數后。而_min()中存在ERC-1155中的隱藏外部調用_doSafeTransferAcceptanceCheck(),造成了重入漏洞。
NBA薅羊毛事件
2022年4月21日,NBA項目方遭遇黑客攻擊。
漏洞原因:簽名冒用和復用
該漏洞存在于The_Association_Sales合約中,項目當在采用簽名校驗的方式驗證白名單時,主要存在兩個安全問題:簽名冒用和簽名復用。其中簽名復用問題是由于項目方并未在合約中存儲已經使用過的簽名,造成簽名可以被攻擊者重復多次使用;簽名冒用的問題是由于vDatamemory參數info在傳參時未進行msg.sender校驗導致簽名可冒用。
Akutar事件
2022年4月23日,NFT項目方Akutar的AkuAuction合約由于智能合約本身漏洞,導致11539ETH被鎖死在合約中。
擴展閱讀:NFT項目驚現低級漏洞,合約未審計導致3400萬美元資產被鎖死——Akutar事件分析
漏洞原因:邏輯漏洞
該合約存在兩個邏輯漏洞,第一是退款函數processRefunds使用call函數進行退款操作,并且把退款結果作為require判定條件,如果攻擊者在fallback中進行惡意revert會導致整個合約的退款操作無法繼續進行。第二個漏洞是造成此次事件的根本原因,即退款函數中存在的兩個判斷條件,由于沒有考慮到一個用戶可以投標多個NFT的情況,使得項目方后續的退款操作永遠無法執行。
XCarnival事件
2022年6月24日,NFT借貸協議XCarnival遭到攻擊,黑客獲利3087枚以太坊。
擴展閱讀:NFT借貸平臺需警惕,XCarnival被攻擊事件給我們哪些啟示?
漏洞原因:邏輯漏洞
該漏洞存在于XNFT合約中,該合約中的pledgeAndBorrow函數在質押NFT時并未未檢查攻擊者傳入的xToken地址是否為項目方白名單中的地址;并且在借貸時,并未對抵押記錄的狀態進行檢測,導致攻擊者反復使用無效的抵押記錄進行借貸。
NFT合約在審計過程中都會出現哪些常見問題呢
上半年發生了多起NFT合約相關的安全事件,主要原因還是沒有進行全面的安全審計,那么NFT合約在審計過程中都會出現哪些常見問題呢?
成都鏈安審計團隊在審計NFT系列合約時,發現NFT合約主要的問題包括以下幾類:
(1)簽名冒用和復用:
簽名數據缺少重復執行驗證(例如:缺少用戶nonce),導致可以重復使用簽名數據鑄造NFT;
簽名檢查不合理(例如:未檢查簽名者為零地址的情況),導致任意用戶均可通過檢查進行鑄幣;
(2)邏輯漏洞:
合約管理員可以通過私募等特殊方式鑄幣而不受總量的限制,導致NFT的實際量超過預期;
拍賣NFT時,獲勝者可在領取交易順序依賴攻擊,修改競拍價格,導致競拍獲勝者可以低價獲取NFT;
(3)ERC721&ERC1155重入攻擊
當合約使用轉賬通知功能時(onERC721Received函數),NFT合約會主動向轉賬的目標合約發送一次調用,那么這就可能導致重入攻擊;
(4)授權范圍過大
用戶在進行質押或者拍賣時,僅需要對單個代幣授權,但合約要求_operatorApprovals授權,一旦用戶授權成功,那么就存在NFT被盜的風險。
(5)價格操控
NFT的價格依賴于某合約的代幣持有量,導致攻擊者利用閃電貸拉高代幣價格,使得質押的NFT被異常清算。
從上半年發生的NFT合約安全事件來看,審計過程中經常出現的漏洞在實際中也會被黑客利用。因此尋求專業的安全公司對NFT合約進行審計也是非常有必要的。
Tags:NFTDAONCEUSDnft幣未來價格上漲一千倍DUCKDAOCharm Finance幣世界快訊GUSDT
以太坊POW到POS的轉型為整個Web3?行業的發展引入了一層新的敘事,即對于去中心化更深切的要求.
1900/1/1 0:00:00?就在昨日,網傳重慶市江北區文化和旅游發展委員會公布的《關于XX數字科技有限公司涉嫌非法集資問題的情況回復》在網絡上引發頗多關注,本文無意于考察該回復的真實性,具體信息以官方的信息為準.
1900/1/1 0:00:00來源:@stonecoldpat0作者:PatrickMcCorry 能源消耗 合并后的能源消耗會減少99.8%.
1900/1/1 0:00:00最近看了不少Web3+品牌的東西,挺看好這個方向,但理解尚淺,不成體系,先零散說說見聞。 市場狀況 大部分大品牌都成立了總部級Web3工作組以制定和執行Web3戰略.
1900/1/1 0:00:00它們的核心都致力于解決同一個問題——可擴展性。如果在過去一年左右一直關注區塊鏈行業,就一定聽過以太坊「合并」或第2層解決方案。然而,這些都是相當技術性的概念,導致很多人可能對它們視而不見.
1900/1/1 0:00:00實際上,我們可能只需要少數看起來更像是科學而非公司治理結構的DAO。原文:《DAOsarenotcorporations:wheredecentralizationinautonomouso.
1900/1/1 0:00:00