🎙 Насколько безопасен ваш цифровой актив? Уязвимости смарт-контрактов в NFT

Насколько безопасен ваш цифровой актив? Уязвимости смарт-контрактов в NFT

Изучите уязвимости смарт-контрактов в невзаимозаменяемых токенах (NFT) и узнайте, как лучше защитить свои цифровые активы.

Знаете ли вы о потенциальных проблемах безопасности, скрывающихся в NFT? Цель этой статьи — пролить свет на некоторые распространенные уязвимости смарт-контрактов, которые часто приводят к значительным потерям в экосистеме блокчейна.

Мы рассмотрим некоторые эффективные методы обнаружения и смягчения этих потенциальных угроз безопасности в среде NFT.

Выявление и понимание уязвимостей смарт-контрактов

Смарт-контракты составляют основу NFT, управляя созданием, владением, идентификацией и обменом уникальными, незаменимыми цифровыми активами, и все это без необходимости в центральном органе.

Однако эти контракты, какими бы революционными они ни были, имеют свои недостатки. Проблемы безопасности NFT могут привести к множеству непредвиденных последствий, от кражи активов до непреднамеренных списков, поскольку они часто становятся целью эксплойтов кода, а не самих NFT.

Уязвимости смарт-контрактов обычно коренятся в языках программирования высокого уровня, таких как Solidity, Vyper или Rust. Одна ошибка в коде Solidity может привести к появлению множества уязвимостей NFT.

Более того, проблема может усугубляться, когда контракты взаимодействуют друг с другом, когда одна уязвимость смарт-контракта может привести к сбою всего приложения или даже третьих сторон, которые на него полагаются.

Реентерабельность: эта атака происходит, когда несколько транзакций быстро отправляются в смарт-контракт, что приводит к потенциальным ошибкам, которые могут быть использованы хакерами.

Отказ в обслуживании (DOS). Атаки DOS часто включают в себя создание невыполнимой функции путем создания бесконечного цикла или использования ограничения газа Ethereum.

Арифметическое переполнение и опустошение. Эти ошибки связаны с обработкой данных в рамках контракта и часто могут привести к серьезным проблемам с безопасностью NFT.

Видимость по умолчанию. В смарт-контрактах Ethereum видимость функций по умолчанию является общедоступной, что оставляет место для потенциальной эксплуатации злоумышленниками.

Иллюзия энтропии. Эта уязвимость смарт-контракта возникает, когда разработчики ошибочно предполагают, что функция блокчейна может предоставлять случайные числа, что приводит к манипулированию результатами.

Аутентификация Tx.Origin. Использование команды tx.origin для аутентификации может привести к фишинговым атакам, тем самым ставя под угрозу смарт-контракт.

Условия гонки: они возникают, когда результат функции зависит от порядка транзакций, оставляя место для потенциальной эксплуатации.

Эти уязвимости NFT использовались во многих реальных случаях, что привело к существенным потерям. Некоторые примеры включают следующее:

Компромисс контракта NFT Trader: 16 декабря 2023 года торговый сайт NFT Trader подвергся эксплойту двух своих старых контрактов, что привело к краже различных ценных NFT, включая Bored Apes, Art Blocks, World of Women и VeeFriends.

Уязвимость в контрактах NFT Trader была обнаружена основателем Delegate.cash 0xfoobar, который призвал пользователей платформы немедленно отозвать любые разрешения, связанные со скомпрометированными контрактами.

Ошибка безопасности в общей библиотеке смарт-контрактов. В конце 2023 года компания Thirdweb, специализирующаяся на технологиях web3, обнаружила серьезную уязвимость в безопасности смарт-контрактов в широко используемой библиотеке с открытым исходным кодом.

Сообщается, что эта уязвимость затронула предварительно созданные смарт-контракты, такие как DropERC20, ERC721, ERC1155 и AirDrop20, потенциально подвергая риску несколько коллекций NFT.

После обнаружения Thirdweb начала расследование вместе со своими партнерами по аудиту. К счастью, они обнаружили, что эта уязвимость не использовалась ни в одном из их смарт-контрактов.

В рамках решения компания устранила проблему, предположительно исправив уязвимость NFT в библиотеке и обновив затронутые смарт-контракты для использования обновленной библиотеки.

Манипулирование токенами AllianceBlock. В феврале 2023 года ALBT, собственный токен AllianceBlock, стал жертвой взлома Oracle, который привел к значительным манипуляциям с ценами.

Инцидент произошел, когда злоумышленник вмешался в работу оракула в смарт-контракте, что позволило ему манипулировать ценами ALBT и генерировать значительные объемы стейблкоина Bonq Euro (BEUR). Эта эксплуатация привела к огромным потерям, которые оцениваются примерно в 120 миллионов долларов.

По имеющимся данным, хакеры перекачали токены ALBT на сумму около 5 миллионов долларов по протоколу децентрализованного заимствования Bonq. В другом случае хакеры скомпрометировали смарт-контракт протоколов и манипулировали токенами AllianceBlock, выведя из системы около 88 миллионов долларов криптовалюты.

Эксплойт также существенно повлиял на стоимость ALBT, которая упала на 51% сразу после инцидента и более чем на 65% в следующие несколько дней.

Повторный вход Omni (июль 2022 г.). В июле 2022 года платформа Omni, которая работает как денежный рынок NFT, подверглась серьезному взлому из-за уязвимости повторного входа в своих контрактах Ethereum, что привело к потере 1,4 миллиона долларов.

Анализ безопасности взлома показал, что злоумышленнику удалось увести 1300 ETH из средств тестирования платформы.

Хотя Omni поспешил отметить, что инцидент не затронул средства пользователей, это событие подняло серьезные вопросы о безопасности блокчейн-платформ и мерах, которые им необходимо принять для защиты от таких атак.

DDoS-атака LooksRare (январь 2022 г.): всего через несколько часов после запуска 11 января 2022 года платформа LooksRare стала жертвой распределенной атаки типа «отказ в обслуживании», в результате которой сайт стал недоступен.

Многие пользователи сообщали о проблемах с привязкой своих цифровых кошельков и сталкивались с трудностями при попытке внести в список свои NFT. Команда LooksRare оперативно отреагировала на восстановление функциональности веб-сайта, хотя проблема с подключением кошелька оставалась нерешенной еще некоторое время.

В каждом из приведенных выше случаев общим знаменателем была эксплуатация уязвимостей смарт-контрактов, которые варьировались от ошибок кодирования до недостатков дизайна. Это подчеркивает важность комплексного аудита проблем безопасности NFT перед развертыванием любого смарт-контракта.

Вам также может быть интересно: Были ли NFT причудой и стоит ли в них инвестировать сейчас?

Устранение уязвимостей

Хотя криптоэкосистема действительно состоит из весьма экспериментальных технологий, можно принять ряд мер для повышения безопасности цифровых активов.

Очень важно знать, какие разрешения запрашивает ваш кошелек при совершении транзакций на платформе, и гарантировать, что вы случайно не предоставите больше доступа, чем предполагалось.

Для незнакомых или менее надежных платформ рекомендуется создать новый кошелек и протестировать платформу с небольшой суммой, прежде чем переводить большие суммы.

В качестве дополнительного уровня защиты синхронизация вашего браузерного кошелька с аппаратным кошельком может предоставить дополнительную возможность исправить любые ошибки транзакций.

Регулярный аудит смарт-контрактов NFT может помочь выявить и устранить потенциальные уязвимости. Фирмы, специализирующиеся на охранных услугах в этой области, могут всесторонне просмотреть код, проанализировать уязвимости и предоставить подробные отчеты.

После внутреннего аудита проект NFT может инициировать программу вознаграждений за обнаружение ошибок, предлагая общественности выявлять и сообщать об уязвимостях в контракте в обмен на вознаграждение.

Спешка в процессе разработки программного обеспечения или проявление незначительной невнимательности могут привести к значительным потерям. Таким образом, правильное управление проектом является ключом к предотвращению проблем с безопасностью NFT.

Будущее смарт-контрактов

Смарт-контракты все еще являются развивающейся областью, и последние достижения значительно повысили их безопасность. Системы связи между платформами становятся более надежными, а в проектах используются аудиторские фирмы, системы искусственного интеллекта и ботов для быстрого выявления подозрительных транзакций.

Кроме того, из-за повышенного внимания со стороны правоохранительных органов и введения более строгих требований AML и KYC к игрокам в криптосекторе отмывание денег после взлома стало более трудным.

Кроме того, рост числа «белых» хакеров, которые помогают выявлять уязвимости, не причиняя при этом значительных потерь платформам, также способствовал повышению безопасности смарт-контрактов.

Однако даже с учетом этих мер важно понимать, что ни один разработчик или программист не может утверждать, что его контракты на 100% безопасны. Таким образом, пользователям NFT по-прежнему необходимо тщательно взвешивать связанные с этим риски.

Подробнее: НФТ в спорте: полезны ли они для карьеры спортсменов?