区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 区块链 > 正文

TOK:黑客不会“隐入尘烟” 你的NFT合约安全如何保证?_Horde Token

作者:

时间:

点击阅读:2022年上半年Web3安全态势深度研报

在我们发布的《2022年上半年Web3安全态势深度研报》中,我们已经从各个维度展示和分析了区块链安全领域的总体态势。今天,我们将针对NFT合约安全展开分析,看看在NFT合约在审计过程中都会出现哪些常见问题呢?

上半年NFT领域安全事件的总损失有多少?

据成都链安鹰眼区块链安全态势感知平台监控显示,2022年上半年,共监测到NFT领域主要安全事件10起,统计到的损失约为6490万美元,主要攻击方式为合约漏洞利用、私钥泄露、钓鱼等。而上半年Discord钓鱼事件频发,几乎每天都有Discord服务器受到攻击,个人用户因点击钓鱼链接而遭受损失的情况频繁发生。

ChatGPT用户账号被黑客入侵 数据在暗网出售:金色财经报道,据埃及《金字塔报》网站报道,网络安全公司IB集团(Group-IB)最近一份报告显示,2022年6月至2023年5月,4588名埃及人的ChatGPT账号遭到黑客入侵,他们的数据在暗网上出售。[2023/6/21 21:52:16]

上半年NFT典型安全事件?

TreasureDAO事件

2022年3月3日,TreasureDAO交易平台遭到黑客攻击,造成100多个NFT被盗。

扩展阅读:怪事?盗了又归还?TreasureDAO安全事件分析

漏洞原因:逻辑漏洞

该漏洞存在于TreasureMarketplaceBuyer合约中,该合约的buyItem函数在传入_quantity参数后,并没有做代币类型判断,直接将_quantity与_pricePerItem相乘计算出了totalPrice,因此safeTransferFrom函数可以在ERC-20代币支付数额只有0的情况下,调用TreasureMarketplace合约的buyItem函数来进行代币购买。

Connected 2023: Web3社交黑客马拉松在DoraHacks.io正式启动:据官方消息,Connected 2023: A Web3 Social Hackathon项目申请入口已在开发者激励平台DoraHacks.io开启。本次活动由Web3社交图谱协议CyberConnect和BNB Chain联合举办,利用DoraHacks平台支持的自由组织黑客马拉松工具发起。活动赞助商来自Notifi、Lit、Livepeer和XMTP,总资助池超50,000美元,项目提交截止时间为3月10日。[2023/2/17 12:13:36]

本次安全事件主要原因是ERC-1155代币和ERC-721代币混用导致的逻辑混乱,ERC-721代币并没有数量的概念,但是合约却使用了数量来计算代币购买价格,且最后在代币转账的实现中也未进行逻辑分离。

APECoin空投事件

2022年3月17日,黑客通过闪电贷拿到了超过6万的APECoin空投。

报告:DeFi领域中约50%的黑客攻击与跨链桥相关:金色财经报道,根据Token Terminal的一份报告,DeFi领域中大约50%的攻击发生在跨链桥上。在过去两年的时间里,黑客利用跨链桥上的漏洞盗取超25亿美元。与其他安全漏洞相比,这个数额是巨大的,比如在此期间的DeFi借贷黑客攻击(7.18亿美元)和去中心化交易所的漏洞(3.62亿美元)。

Immunefi首席执行官和安全专家Mitchell Amador解释说,DeFi领域的一些开发者缺乏必要的知识来保护这种复杂的机制。Amador称:“许多开发者通过简单地复制和粘贴其他项目的代码来启动项目。当其中一个项目有漏洞时,其他项目通常也有这个漏洞。开源智能合约,由于所有人都可以看到和访问,很容易吸引黑客研究它们,发现它们的漏洞,并利用它们。”(Cointelegraph)[2022/10/20 16:31:25]

漏洞原因:逻辑漏洞

该漏洞存在于AirdropGrapesToken空投合约中,由于其使用alpha.balanceOf()和beta.balanceOf()判定调用者对BAYC/MAYCNFT的所有权。而这种方式仅能获取到用户对该NFT所有权的瞬时状态,但该瞬时状态可以通过闪电贷借入进行操控。攻击者利用该漏洞,以闪电贷借出BAYCNFT并获取对应的空投。

BSC生态项目PancakeHunny 遭遇黑客攻击 黑客获利 43 ETH:据PeckShield派盾追踪分析,PancakeBunny的仿盘PancakeHunny遭到黑客攻击,黑客获利43ETH(合计10余万美元)。[2021/6/3 23:07:40]

RevestFinance事件

2022年3月27日,RevestFinance项目遭遇黑客攻击,损失余额12万美元。

扩展阅读:老调重弹,ERC1155的重入攻击又“现身”,RevestFinance被攻击事件简析

漏洞原因:ERC-1155重入

该漏洞存在于Revest合约中,当用户采用depositAdditionalToFNFT()追加FNFT的抵押资产时,合约需要将先把之前的FNFT销毁,之后再铸造新的FNFT。但是在铸造时,由于min()函数中未判断需铸造的FNFT是否已经存在,并且状态变量fnftId自增在_mint()函数后。而_min()中存在ERC-1155中的隐藏外部调用_doSafeTransferAcceptanceCheck(),造成了重入漏洞。

动态 | Reddit用户遭黑客攻击被盗1170枚COSS:据Crypto Globe消息,Reddit用户“blockchainified”近日透露,他在10月14日发现账户被攻击,黑客从他的账户中拿走了14个比特币(89500美元)、22个ETH(4400美元)和大约10%的COSS代币共计1170万个COSS代币(77万美元)。 对此,COSS交易所要求黑客将近1000万个COSS令牌返回到ERC地址。在Telegram上,一个用户建议COSS合约的代币持有者使用一个功能,让他们从黑客的钱包里取出资金。不久之后,COSS的创始人Rune Evensen暗示这一举动已经完成。[2018/10/25]

NBA薅羊毛事件

2022年4月21日,NBA项目方遭遇黑客攻击。

漏洞原因:签名冒用和复用

该漏洞存在于The_Association_Sales合约中,项目当在采用签名校验的方式验证白名单时,主要存在两个安全问题:签名冒用和签名复用。其中签名复用问题是由于项目方并未在合约中存储已经使用过的签名,造成签名可以被攻击者重复多次使用;签名冒用的问题是由于vDatamemory参数info在传参时未进行msg.sender校验导致签名可冒用。

Akutar事件

2022年4月23日,NFT项目方Akutar的AkuAuction合约由于智能合约本身漏洞,导致11539ETH被锁死在合约中。

扩展阅读:NFT项目惊现低级漏洞,合约未审计导致3400万美元资产被锁死——Akutar事件分析

漏洞原因:逻辑漏洞

该合约存在两个逻辑漏洞,第一是退款函数processRefunds使用call函数进行退款操作,并且把退款结果作为require判定条件,如果攻击者在fallback中进行恶意revert会导致整个合约的退款操作无法继续进行。第二个漏洞是造成此次事件的根本原因,即退款函数中存在的两个判断条件,由于没有考虑到一个用户可以投标多个NFT的情况,使得项目方后续的退款操作永远无法执行。

XCarnival事件

2022年6月24日,NFT借贷协议XCarnival遭到攻击,黑客获利3087枚以太坊。

扩展阅读:NFT借贷平台需警惕,XCarnival被攻击事件给我们哪些启示?

漏洞原因:逻辑漏洞

该漏洞存在于XNFT合约中,该合约中的pledgeAndBorrow函数在质押NFT时并未未检查攻击者传入的xToken地址是否为项目方白名单中的地址;并且在借贷时,并未对抵押记录的状态进行检测,导致攻击者反复使用无效的抵押记录进行借贷。

NFT合约在审计过程中都会出现哪些常见问题呢

上半年发生了多起NFT合约相关的安全事件,主要原因还是没有进行全面的安全审计,那么NFT合约在审计过程中都会出现哪些常见问题呢?

成都链安审计团队在审计NFT系列合约时,发现NFT合约主要的问题包括以下几类:

(1)签名冒用和复用:

签名数据缺少重复执行验证(例如:缺少用户nonce),导致可以重复使用签名数据铸造NFT;

签名检查不合理(例如:未检查签名者为零地址的情况),导致任意用户均可通过检查进行铸币;

(2)逻辑漏洞:

合约管理员可以通过私募等特殊方式铸币而不受总量的限制,导致NFT的实际量超过预期;

拍卖NFT时,获胜者可在领取交易顺序依赖攻击,修改竞拍价格,导致竞拍获胜者可以低价获取NFT;

(3)ERC721&ERC1155重入攻击

当合约使用转账通知功能时(onERC721Received函数),NFT合约会主动向转账的目标合约发送一次调用,那么这就可能导致重入攻击;

(4)授权范围过大

用户在进行质押或者拍卖时,仅需要对单个代币授权,但合约要求_operatorApprovals授权,一旦用户授权成功,那么就存在NFT被盗的风险。

(5)价格操控

NFT的价格依赖于某合约的代币持有量,导致攻击者利用闪电贷拉高代币价格,使得质押的NFT被异常清算。

从上半年发生的NFT合约安全事件来看,审计过程中经常出现的漏洞在实际中也会被黑客利用。因此寻求专业的安全公司对NFT合约进行审计也是非常有必要的。

标签:WEBWEB3TOKETOKWeb 3 Developmentweb3域名注册官网Horde TokenIBP Token

区块链热门资讯
WEB:让粉丝成为创作者:NFT与粉丝经济_WEB3

Web3目前最重要的趋势之一就是对粉丝文化的重构,粉丝和创作者之间的界限正在变得模糊,并且开始思考如何对粉丝的二次创作做出奖励。在不少Web3新兴项目上,有两个重大的转变值得我们去关注.

HTT:金色观察 | 比特币的下一次牛市将在何时到来?_btc交易平台合法吗

比特币的价格在2021年爆发,4月突破60,000美元,11月创下近70,000美元的历史新高。然而,自那个高峰以来,该资产扭转了它的轨迹,损失了超过50%的价值.

NFT:Web3的底层逻辑:制度经济学视角_区块链

本文作者:kokii.eth?Web3是一种新的经济基础设施,用于协调和交换。它从根本的产权制度开始,将对复杂制度的信任从单个组织转移到分散化的节点和可验证的代码上.

ETC:一文纵览The Merge背后的三大阵营的博弈和对比_以太坊行情币有什么用

官方消息透露,以太坊合并的初步日期定在9月中旬。随着合并日期的日益推进,行业对以太坊的周边事件讨论也变得更为热烈。一方面,以太坊合并直接引发的共识转变,Pos机制是否会引发中心化风险.

数字人:花300万打造虚拟代言人 怎么就违法了?_KetchupToken

近期,某研究机构发布数字人研究报告,研究显示当前虚拟数字人市场规模已超过2000亿元,并且该机构预测2030年数字人产业将达到2703亿元.

INT:EVM 深入探讨_leostoken

导语 在智能合约世界中,“以太坊虚拟机”及其算法和数据结构是首要原则。我们创建的智能合约就是建立在这个基础之上的.