NFT захватили цифровой мир, превратившись в цифровые сертификаты на искусство, коллекционные предметы и виртуальные активы. Но когда рынок вырос до $69 млрд, он стал лакомым куском для мошенников. В первом масштабном исследовании такого рода ученые проанализировали 176 реальных случаев взломов и афер, разбили их на 12 категорий и нашли уязвимости в платформах и протоколах. Их выводы не только вскрывают слабые места NFT, но и предлагают конкретные способы защиты.

NFT изменили представление о цифровой собственности: теперь можно покупать и продавать уникальные объекты — от картин до виртуальной земли. Но технология развивалась так быстро, что безопасность не успевала за ней. В результате пользователи сталкиваются с мошенничеством, техническими сбоями и провальными проектами. Чем дороже становятся NFT, тем серьезнее последствия атак.

В журнале Blockchain: Research and Applications вышло исследование ученых из Университета науки и технологий Хуачжун и Пекинского университета. Они изучили 248 отчетов о взломах и 35 научных статей, систематизировали 176 инцидентов и создали многослойную модель безопасности NFT.

Исследователи выделили три уровня уязвимостей:

• Контракты — ошибки в коде, например, повторные атаки (reentrancy) или слабая защита доступа.
• Биржи — манипуляции, вроде накрутки объемов (wash trading) или обмана инвесторов (rug pulls).
• Сервисы — фишинг, поддельные сайты, взломы интерфейсов.

Reentrancy-атака — когда хакер использует ошибку в смарт-контракте: пока система обрабатывает его запрос, он повторно вызывает ту же функцию и «перехватывает» управление. Например, может вывести деньги, пока контракт не успел обновить баланс.

Были случаи, когда хакеры крали миллионы, используя ошибки в функции выпуска токенов (minting), или обманывали пользователей поддельными NFT с именами знаменитостей. Ученые также разработали инструменты для обнаружения угроз, такие как анализ цепочек транзакций.

Раньше многие атаки, особенно фишинг и манипуляции с интерфейсами, почти не были изучены в академической среде. Теперь у специалистов есть открытая база данных и классификация угроз.

NFT растут как на дрожжах, но никто до конца не понимал, где и как система дает сбой, — говорит доктор Хаоюй Ван, руководитель исследования. — Мы не только нашли корень проблем, но и дали инструменты для защиты. Это сигнал для всех: безопасность NFT нельзя игнорировать.

Исследование поможет разработчикам исправлять ошибки в контрактах, инвесторам — распознавать мошенников, а экспертам — работать вместе над защитой Web3.

Главная ценность работы — практичность. Ученые не просто перечислили угрозы, а разложили их по уровням и предложили конкретные методы обнаружения. Например, их инструменты для анализа транзакций могут внедрить биржи, чтобы выявлять подозрительные операции. Разработчики смарт-контрактов теперь знают, на какие уязвимости тестировать код.

Также важно, что исследование вскрыло слепые пятна — атаки, которые почти не изучались (например, фишинг через фейковые интерфейсы). Это направление для новых работ.

Однако исследование охватывает только известные инциденты, но не оценивает масштаб «темной» статистики — сколько атак осталось незамеченными? Например, мелкие rug pulls или скрытые манипуляции на малоизвестных маркетплейсах могли выпасть из выборки.

Ранее мы разбирались, что пошло не так с NFT.