تحليل مشكلات أمان عقود NFT وتفسير المخاطر الشائعة

في النصف الأول من عام 2022، تكررت حوادث الأمان في مجال NFT، مما تسبب في خسائر اقتصادية كبيرة. وفقًا لمراقبة منصة أمان blockchain معينة، وقعت خلال هذه الفترة 10 حوادث أمان NFT كبيرة، مع خسائر إجمالية تبلغ حوالي 6490 مليون دولار. تشمل أساليب الهجوم الرئيسية استغلال ثغرات العقود، تسرب المفاتيح الخاصة، والهجمات التصيد الاحتيالي. ومن الجدير بالذكر أن هجمات التصيد الاحتيالي على منصة Discord كانت شديدة الانتشار، حيث تعرضت الخوادم للهجوم تقريبًا كل يوم، مما أدى إلى خسائر في أصول المستخدمين.

مراجعة الأحداث الأمنية النموذجية

حدث TreasureDAO

في 3 مارس، تم اختراق منصة TreasureDAO للتداول، وسُرِق أكثر من 100 NFT. جذر الحادث هو وجود ثغرة منطقية في العقد، مما أدى إلى استخدام رموز ERC-1155 وERC-721 بشكل مختلط، مما تسبب في خطأ في الحساب، مما مكن المهاجمين من شراء NFT بتكلفة صفرية.

ثغرة في توزيع عملة APE

في 17 مارس، استغل القراصنة قرض الفلاش للحصول على أكثر من 60000 توكن من APE Coin كإيردروب. كانت الثغرة تكمن في أن عقد الإيردروب كان يتحقق فقط من الملكية الفورية للـ NFT من قبل المتصل، دون مراعاة التأثيرات المحتملة للقرض الفلاش.

تعرض Revest Finance لهجوم إعادة دخول

في 27 مارس، فقد مشروع Revest Finance 120,000 دولار. استغل المهاجمون ثغرة إعادة الإدخال في معيار ERC-1155، مما أدى إلى تنفيذ هجوم إعادة الإدخال أثناء عملية صك FNFT.

ثغرة توقيع مشروع NBA

في 21 أبريل، تعرض مشروع NFT المتعلق بـ NBA لهجوم. تكمن المشكلة في آلية التحقق من القائمة البيضاء، حيث توجد ثغرتان رئيسيتان تتعلقان بتزوير التوقيع وإعادة استخدامه.

حدث قفل عقد Akutar

في 23 أبريل، تم قفل 11539 ETH بقيمة 34 مليون دولار بشكل دائم في العقد الذكي لمشروع Akutar بسبب ثغرة في العقد. السبب الرئيسي هو عيب في تصميم منطق وظيفة الاسترداد.

هجوم على منصة الإقراض XCarnival

في 24 يونيو، تعرض بروتوكول اقتراض NFT XCarnival للاختراق، مما أدى إلى خسائر تقدر بحوالي 3.8 مليون دولار. استغل المهاجمون ثغرة منطقية في العقد، حيث قاموا بإعادة استخدام سجلات الرهن غير الصالحة لإجراء عمليات الاقتراض.

الثغرات الأمنية الشائعة في عقود NFT

من خلال تحليل الأحداث المذكورة أعلاه، يمكننا تلخيص بعض المشكلات الأمنية الشائعة في عقود NFT:

1. عيوب آلية التوقيع: تشمل مشكلة إعادة استخدام التوقيع والانتحال.
2. ثغرات التصميم المنطقي: مثل قيود السك غير السليمة، وعيوب منطق المزاد، وغيرها.
3. مشكلة تنفيذ معايير ERC721/ERC1155: خاصةً خطر هجمات إعادة الدخول.
4. التفويض المفرط: نطاق تفويض المستخدم واسع جدًا، مما يزيد من خطر سرقة الأصول.
5. التلاعب بالأسعار: قد يتم استغلال آلية تسعير NFT بشكل ضار.

تظهر هذه المشكلات أن العديد من مشاريع NFT تتجاهل التدقيق الأمني الشامل خلال عملية تطوير ونشر العقود. لتقليل المخاطر الأمنية، يجب على مطوري مشاريع NFT إيلاء اهتمام كبير لأعمال تدقيق العقود، وتوظيف فرق أمان محترفة لإجراء تقييم شامل وإصلاح الثغرات. في نفس الوقت، يجب على المستخدمين أن يكونوا حذرين عند المشاركة في مشاريع NFT، والانتباه لحماية أمان أصولهم الشخصية.