Dikkat edilmesi gereken en önemli 5 NFT akıllı sözleşme güvenlik açığı

NFT sektörü, ortaya çıkışından bu yana pek çok sorunla karşılaştı ve bu da pek çok kişinin NFT'lerin önceden düşünüldüğü kadar güvenli olmadığından endişe etmesine neden oldu. Ancak sorun NFT'lerin kendisinde değil.

NFT'ler aslında akıllı sözleşmelerdir ve bu sözleşmeler güvenlik açıklarına tabidir. Özünde, akıllı sözleşmeler yalnızca koddur ve kod ne kadar karmaşıksa hataların ortaya çıkması da o kadar fazla olur. Elbette, geliştiriciler kodlarını hatalar ve güvenlik açıkları için tekrar tekrar tarama eğilimindedirler, ancak kapsamlı aramalardan sonra bile bir veya iki kusur hala kalabilir ve özellikle kötü aktörler bunları tanımlamayı başarırsa, ileride sorunlara neden olabilir.

Akıllı sözleşmelerin kodları daha fazla dikkat gerektirdiğinden güvenlik denetimlerinin yine de yapılmasının nedeni budur. O zaman ve ancak o zaman akıllı sözleşmeler ve bir dereceye kadar NFT'ler yeterince güvence altına alınabilir.

Akıllı sözleşmelerde mevcut olan daha yaygın ama yine de oldukça tehlikeli kusurlardan bazılarına bir göz atalım:

NFT token satışı güvenlik açıkları

Kötü aktörlerin bir NFT projesini aksatmak için akıllı sözleşmelerin kusurlarını kullanmak zorunda kaldıkları ilk fırsat, token satışlarıdır. En dikkate değer örneklerden biri Adidas NFT token satışıdır.

Satış devam ederken bir saldırgan, bir cüzdan için satın alınan maksimum token limitini aşmayı başardı. Sonuç olarak hacker 330 NFT elde etmeyi başardı ve Adidas'ın normalde başarılı olan ilk NFT koleksiyonu "Into the Metaverse"yi kalıcı olarak bozdu. Bilgisayar korsanının bunu başarmak için yapması gereken tek şey, Ethereum cüzdanı başına yalnızca iki NFT'nin puanlanabileceğini söyleyen sınırı kaldırmaktı.

Pazardaki güvenlik açıkları

Bir sonraki kusur mutlaka NFT'lerin kendisini değil, bunların bulunabileceği pazar yerlerini ilgilendiriyor. Bunun bir örneği dünyanın en büyük NFT pazarı olan OpenSea'dir. Çok uzun zaman önce OpenSea, saldırıya uğrayan tarafın eski fiyatlarından para satın almayı başardığı bir saldırıya uğradı.

Bu boşluk, birçok kişinin değerli NFT'leri tokenlerin piyasa değerinin önemli ölçüde altında fiyatlarla satın almasına olanak tanıdı. Bundan etkilenen en dikkate değer proje, NFT'lerinden birinin (#9991) 0.77 ETH karşılığında satın alındığı, ancak saldırganın onu 84.2 ETH karşılığında yeniden sattığı Bored Ape Yat Kulübü oldu.

Açığa çıkan özel anahtarlar

Bahsetmek istediğim üçüncü sorun ise NFT'lere özel değil. Aslında kripto endüstrisi var olduğundan beri kripto endüstrisinin bir parçası olmuştur. Cüzdanlara erişmek ve ödemeleri gerçekleştirmek için kullanılan özel anahtarların güvenli bir şekilde saklanması etrafında dönüyor.

Bilgisayar korsanları, bilgisiz yatırımcılara karşı özel anahtarlarını çalmak ve paralarına ve tokenlerine erişmek için kullanılabilecek birçok yöntem belirledi. En sık kullanılan yöntemlerden biri kimlik avıdır. Yakın zamanda bir kimlik avı saldırısına maruz kalan ve kullanıcıların ağa işlem gönderdiklerini düşündükleri OpenSea bir kez daha akla geliyor.

Bunun yerine, bir bilgisayar korsanı onları MetaMask kullanarak verileri imzalamaları için kandırdı ve saldırgan, imzalarının yardımıyla fonlarını çalmayı başardı.

Yeniden giriş saldırıları

Başka bir saldırı türü yeniden giriş saldırısı olarak bilinir ve bu, OpenZeppelin'in en popüler NFT standardıyla ilgilidir. Temel olarak, OpenZeppelin'in NFT standardının en popüler uygulaması bir geri çağırma işlevine sahiptir.

Temelde, geliştiricilerin NFT'leri projelere entegre etmelerine yardımcı olmayı amaçlayan bir işlevdir, ancak sorun şu ki, kod geliştiricilerin bunlara karşı koruma sağlamayı unutacak kadar dikkatsiz olması koşuluyla, yeniden giriş saldırıları gerçekleştirmek için de kötüye kullanılabilir. Bu saldırının en son örneklerinden biri, 3 Şubat'ta HypeBeast NFT sözleşmesinin bir saldırı işlemi bildirdiği zaman yaşandı.

Projede bir hesabın basabileceği NFT sayısı konusunda bir sınırlama vardı ancak saldırganlar mintNFT işlevini tekrar çağırmak için geri çağırma işlevini kullandı.

NFT dolandırıcılıkları ve kilimleri

Bunun pek çok örneği var; yatırımcılara kedi sanatı içeren bir elektronik token, PURR adı verilen amaca yönelik bir token ve bir DAO üyeliği vaat eden Cool Kittens gibi. Pek çok NFT projesinin yaptığı ve yerine getirdiği standart vaatlerin tümü. Ancak Cool Kittens bunu yapmadı. NFT koleksiyonunun duyurulmasından yalnızca üç hafta sonra basım başladı ve NFT'ler satışa sunuldu. Proje patlama yaptı ve sadece birkaç saat içinde tanesi 2,200 dolar fiyatla 70'den fazla NFT sattı.

Geliştiriciler, küresel bir kripto alıcı kitlesinden 160,000 dolar topladılar ve ardından parayla birlikte ortadan kayboldular. Bu, kripto endüstrisinde oldukça yaygın olan bir şeyin yalnızca bir örneğidir, bu nedenle herhangi bir türde token satışına katılan herkes bunu aklında tutmalı ve çok dikkatli davranmalıdır.

Sonuç

NFT sektörü oldukça ödüllendirici yatırımlar için birçok fırsat sunuyor ancak aynı zamanda bir dizi farklı güvenlik açığı nedeniyle yatırımcılara karşı da kullanılabilir. Durum her zaman böyle değildir; bazen kusur, onları satan piyasada, kendilerini nasıl koruyacaklarını bilmeyen yatırımcılarda veya hatta topluluğu dolandırıp paralarıyla ortadan kaybolmak isteyen NFT geliştiricilerinde olabilir. .

Yatırımcıları bundan korumanın tek yolu projelerin akıllı sözleşmelerini denetlemesi ve pazar yerlerinin sistemlerini hatalara ve kusurlara karşı düzenli olarak kontrol etmesidir. Yatırımcıların yapabilecekleri tek şey dikkatli olmak, karşılaşabilecekleri tehditler ve bunlardan herhangi biriyle karşılaştıklarında ne yapacakları konusunda kendilerini eğitmek.