黑客不会“隐入尘烟” 你的NFT合约安全如何保证?_NFT:NCE

点击阅读:2022年上半年 Web 3安全态势深度研报

在我们发布的《2022年上半年Web 3安全态势深度研报》中,我们已经从各个维度展示和分析了区块链安全领域的总体态势。今天,我们将针对NFT合约安全展开分析,看看在NFT合约在审计过程中都会出现哪些常见问题呢?

上半年NFT领域安全事件的总损失有多少?

据成都链安鹰眼区块链安全态势感知平台监控显示,2022年上半年,共监测到NFT领域主要安全事件10起,统计到的损失约为6490万美元,主要攻击方式为合约漏洞利用、私钥泄露、钓鱼等。而上半年Discord钓鱼事件频发,几乎每天都有Discord服务器受到攻击,个人用户因点击钓鱼链接而遭受损失的情况频繁发生。

慢雾:Poly Network再次遭遇黑客攻击,黑客已获利价值超439万美元的主流资产:金色财经报道,据慢雾区情报,Poly Network再次遭遇黑客攻击。分析发现,主要黑客获利地址为0xe0af…a599。根据MistTrack团队追踪溯源分析,ETH链第一笔手续费为Tornado Cash: 1 ETH,BSC链手续费来源为Kucoin和ChangeNOW,Polygon链手续费来源为FixedFloat。黑客的使用平台痕迹有Kucoin、FixedFloat、ChangeNOW、Tornado Cash、Uniswap、PancakeSwap、OpenOcean、Wing等。

截止目前,部分被盗Token (sUSD、RFuel、COOK等)被黑客通过Uniswap和PancakeSwap兑换成价值122万美元的主流资产,剩余被盗资金被分散到多条链60多个地址中,暂未进一步转移,全部黑客地址已被录入慢雾AML恶意地址库。[2023/7/2 22:13:22]

上半年NFT典型安全事件?

Fantom基金会2023年第一季度黑客松现已启动:2月3日消息,Fantom基金会2023年第一季度黑客马拉松现已启动,提交时间截至北京时间2023年3月9日06:00,评审时间为北京时间3月10日23:00至3月20日06:00,3月23日前后宣布获奖者。此次Fantom黑客松要求构建一个与Fantom区块链集成的工作软件应用程序,要求在Youtube、Vimeo或Facebook Video上公开提交不超过3分钟的视频、提交代码存储库URL、提供合约链接等。

Fantom第一季度黑客松将提供价值5万美元的加密货币奖金,并依据技术实施、设计、潜在影响、创意质量进行评奖。[2023/2/3 11:45:19]

TreasureDAO事件

2022年3月3日,TreasureDAO交易平台遭到黑客攻击,造成100多个NFT 被盗。

扩展阅读:怪事?盗了又归还?TreasureDAO安全事件分析

漏洞原因:逻辑漏洞

东芝遭遇网络入侵,与美国输油管道商网络攻击相关的黑客组织宣称对此负责:据日本放送协会NHK报道,一个黑客组织宣称侵入了东芝的法语网站并窃取了机密信息,东芝正在对此事进行调查。NHK援引Mitsui Bussan Secure Directions的消息报道称,被美国联邦调查局确定与Colonial Pipeline网络入侵事件有关的黑客组织DarkSide宣称其窃取了有关东芝管理层和新业务的资料以及个人信息

此前消息,美国最大汽油管道运营商Colonial遭攻击,黑客索要价值数百万美元虚拟货币赎金。[2021/5/14 22:01:57]

该漏洞存在于TreasureMarketplaceBuyer合约中,该合约的buyItem函数在传入_quantity参数后,并没有做代币类型判断,直接将_quantity与_pricePerItem相乘计算出了totalPrice,因此safeTransferFrom函数可以在ERC-20代币支付数额只有0的情况下,调用TreasureMarketplace合约的buyItem函数来进行代币购买。

动态 | 攻击BetDice等多款游戏的黑客已将赃款分摊至7,791个帐号,ECAF冻结处理已成难题:据PeckShield态势感知平台12月22日数据显示:针对三天前四款EOS竞猜类游戏接连遭黑客攻击的安全事件,PeckShield数据研究人员进一步跟踪发现,涉及到的不当获利288,329.85个EOS,目前已被黑客以大批量创建子账号分散资金的方式,全部分摊至多达7,791个帐号,平均每个帐号包含25-60个小额EOS。目前黑客已暂停资金分散,并有少量资金开始转移至交易所。不过,多达数千个分散帐号,对ECAF接下来的冻结处理造成了极大挑战。为提高效率帮助开发者挽回资产损失,PeckShield安全人员建议:1、ECAF应在安全事件突发后第一时间迅速反应就临时冻结黑客核心帐号,阻挡黑客进一步分散资金的可能。2、黑客的涉赃款帐号PeckShield已经全部布控,一旦开始大额转入交易所将会发出预警,在此呼吁各大交易所能协助对相关账号进行处理。[2018/12/22]

本次安全事件主要原因是ERC-1155代币和ERC-721代币混用导致的逻辑混乱,ERC-721代币并没有数量的概念,但是合约却使用了数量来计算代币购买价格,且最后在代币转账的实现中也未进行逻辑分离。

声音 | 降维安全:电视机和机顶盒成为黑客攻击目标:降维安全表示,电视机和机顶盒一直是黑客的攻击目标。他们通过Kodi(Kodi是一款经典免费开源、跨平台且及其专业的多媒体软件播放器)在电视机及机顶盒植入恶意插件进行挖矿,短时间内成功植入了4700台设备,挖掘了62枚门罗币(XMR),价值近7000美元。

据报道,Kodi在收到投诉后,发现三个附加插件中隐藏着恶意代码。这三个插件分别为Bubbles,Gaia和XvBMC,这些插件在撰写本文时均处于脱机状态,插件中包含触发下载挖矿软件和恶意代码。

降维安全提示,安装了Kodi上述插件的用户请自行检查,如有以上插件,一经发现请及时卸载。[2018/9/14]

APE Coin空投事件

2022年3月17日,黑客通过闪电贷拿到了超过6万的APE Coin空投。

该漏洞存在于AirdropGrapesToken空投合约中,由于其使用 alpha.balanceOf()和beta.balanceOf()判定调用者对BAYC/MAYC NFT的所有权。而这种方式仅能获取到用户对该NFT所有权的瞬时状态,但该瞬时状态可以通过闪电贷借入进行操控。攻击者利用该漏洞,以闪电贷借出BAYC NFT并获取对应的空投。

Revest Finance事件

2022年3月27日,Revest Finance项目遭遇黑客攻击,损失余额12万美元。

扩展阅读:老调重弹,ERC1155的重入攻击又“现身”,Revest Finance被攻击事件简析

漏洞原因:ERC-1155重入

该漏洞存在于Revest合约中,当用户采用depositAdditionalToFNFT()追加FNFT的抵押资产时,合约需要将先把之前的FNFT销毁,之后再铸造新的FNFT。但是在铸造时,由于min()函数中未判断需铸造的FNFT是否已经存在,并且状态变量fnftId自增在_mint()函数后。而_min()中存在ERC-1155中的隐藏外部调用_doSafeTransferAcceptanceCheck(),造成了重入漏洞。

NBA薅羊毛事件

2022年4月21日,NBA项目方遭遇黑客攻击。

漏洞原因:签名冒用和复用

该漏洞存在于The_Association_Sales合约中,项目当在采用签名校验的方式验证白名单时,主要存在两个安全问题:签名冒用和签名复用。其中签名复用问题是由于项目方并未在合约中存储已经使用过的签名,造成签名可以被攻击者重复多次使用;签名冒用的问题是由于vData memory参数info在传参时未进行msg.sender校验导致签名可冒用。

Akutar事件

2022年4月23日,NFT项目方Akutar的AkuAuction合约由于智能合约本身漏洞,导致11539ETH(价值约3400万美元)被锁死在合约中。

扩展阅读:NFT项目惊现低级漏洞,合约未审计导致3400万美元资产被锁死 ——Akutar事件分析

该合约存在两个逻辑漏洞,第一是退款函数processRefunds使用call函数进行退款操作,并且把退款结果作为require判定条件,如果攻击者在fallback中进行恶意revert会导致整个合约的退款操作无法继续进行。第二个漏洞是造成此次事件的根本原因,即退款函数中存在的两个判断条件,由于没有考虑到一个用户可以投标多个NFT的情况,使得项目方后续的退款操作永远无法执行。

XCarnival事件

2022年6月24日,NFT 借贷协议 XCarnival 遭到攻击,黑客获利 3087 枚以太坊(约 380 万美元)。

扩展阅读:NFT 借贷平台需警惕,XCarnival被攻击事件给我们哪些启示?

该漏洞存在于XNFT合约中,该合约中的pledgeAndBorrow 函数在质押NFT时并未未检查攻击者传入的xToken地址是否为项目方白名单中的地址;并且在借贷时,并未对抵押记录的状态进行检测,导致攻击者反复使用无效的抵押记录进行借贷。

NFT合约在审计过程中都会出现哪些常见问题呢

上半年发生了多起NFT合约相关的安全事件,主要原因还是没有进行全面的安全审计,那么NFT合约在审计过程中都会出现哪些常见问题呢?

成都链安审计团队在审计NFT系列合约时,发现NFT合约主要的问题包括以下几类:

(1)签名冒用和复用:

签名数据缺少重复执行验证(例如:缺少用户nonce),导致可以重复使用签名数据铸造NFT;

签名检查不合理(例如:未检查签名者为零地址的情况),导致任意用户均可通过检查进行铸币;

(2) 逻辑漏洞:

合约管理员可以通过私募等特殊方式铸币而不受总量的限制,导致NFT的实际量超过预期;

拍卖NFT时,获胜者可在领取交易顺序依赖攻击,修改竞拍价格,导致竞拍获胜者可以低价获取NFT;

(3) ERC721&ERC1155重入攻击

当合约使用转账通知功能时(onERC721Received函数),NFT合约会主动向转账的目标合约发送一次调用,那么这就可能导致重入攻击;

(4) 授权范围过大

用户在进行质押或者拍卖时,仅需要对单个代币授权,但合约要求_operatorApprovals授权,一旦用户授权成功,那么就存在NFT被盗的风险。

(5) 价格操控

NFT的价格依赖于某合约的代币持有量,导致攻击者利用闪电贷拉高代币价格,使得质押的NFT被异常清算。

从上半年发生的NFT合约安全事件来看,审计过程中经常出现的漏洞在实际中也会被黑客利用。因此寻求专业的安全公司对NFT合约进行审计也是非常有必要的。

Beosin

企业专栏

阅读更多

金色早8点

财经法学

PANews

Bress

链捕手

Odaily星球日报

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:15ms0-1:654ms