Топ-5 уязвимостей в смарт-контрактах NFT, на которые стоит обратить внимание

Топ-5 уязвимостей в смарт-контрактах NFT, на которые стоит обратить внимание

Некоторые смарт-контракты содержат слабые места в кибербезопасности, подвергающие пользователей рискам кибератак.

С момента появления NFT-токенов в данной сфере возникло несколько проблем, из-за которых многие люди были обеспокоены кибербезопасностью смарт-контрактов.

В первую очередь киберпреступники часто пытаются использовать уязвимости в смарт-контрактах для обхода ограничений, связанных с продажей токенов. Одним из наиболее ярких примеров является продажа токенов Adidas NFT. Пока шла распродажа, злоумышленнику удалось обойти ограничение на максимальное количество приобретаемых токенов для кошелька. В результате хакеру удалось купить 330 NFT, навсегда нарушив успешную дебютную коллекцию Adidas NFT Into the Metaverse.

Следующая проблема касается не только самих NFT, но и торговых площадок, на которых их можно найти. Одним из примеров этого является OpenSea — крупнейший в мире рынок NFT. Не так давно OpenSea подверглась атаке, в ходе которой нескольким злоумышленникам удалось купить NFT по ценам, значительно ниже рыночной стоимости токенов.

Третья проблема не является специфичной для NFT, но касается индустрии криптовалюты с самого ее появления и связана с безопасным хранением закрытых ключей для доступа к кошелькам и проведения платежей. Хакеры выявили множество методов, которые позволяют украсть закрытые ключи и получить доступ к криптовалюте и токенам пользователей. Одним из наиболее часто используемых методов является фишинг. Как ранее писал SecurityLab, пользователи OpenSea в прошлом месяце стали жертвами фишинговых атак. Злоумышленникам удалось обманом заставить 32 человек подписать полезную нагрузку, разрешающую бесплатный перевод их NFT мошенникам.

Другой тип опасности известен как атака с повторным входом (re-entrancy attack) и касается самого популярного стандарта NFT OpenZeppelin. Реализация стандарта NFT в OpenZeppelin имеет функцию обратного вызова. Функция, призванная помочь разработчикам интегрировать NFT в проекты, также может быть использована для проведения кибератак. Один из последних примеров этой атаки произошел 3 февраля нынешнего года, когда контракт HypeBeast NFT сообщил об инциденте. В проекте было ограничение на количество NFT, которые может создать учетная запись, но злоумышленники использовали функцию обратного вызова, чтобы снова вызвать функцию mintNFT.

Также существует большое количество примеров мошенничества с NFT. Администраторы Cool Kittens обещали инвесторам электронный токен с изображением кошки, специально созданный токен под названием PURR и членство в DAO. Всего через три недели после объявления о коллекции NFT поступили в продажу. Проект продал более 2,2 тыс. NFT за несколько часов. Создатели проекта заработали $160 тыс. и затем просто исчезли с деньгами.

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться