An toàn hợp đồng NFT: Tổng quan sự kiện nửa đầu năm 2022 và phân tích các vấn đề thường gặp
Trong nửa đầu năm 2022, lĩnh vực NFT đã xảy ra nhiều sự kiện an ninh, gây ra thiệt hại kinh tế lớn. Theo theo dõi của nền tảng dữ liệu, đã có tổng cộng 10 sự kiện an ninh chính xảy ra, với thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý là sự kiện lừa đảo trên Discord xảy ra gần như hàng ngày, dẫn đến việc người dùng cá nhân thường xuyên gặp thiệt hại.
Tổng quan về các sự kiện an ninh điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, hơn 100 NFT đã bị đánh cắp. Lỗ hổng xuất phát từ lỗi logic trong hợp đồng TreasureMarketplaceBuyer, không kiểm tra loại token trước khi tính giá, dẫn đến việc có thể mua NFT với chi phí bằng không. Sự kiện này đã phơi bày những rủi ro logic do việc sử dụng hỗn hợp token ERC-1155 và ERC-721.
sự kiện airdrop APE Coin
Vào ngày 17 tháng 3, hacker đã sử dụng vay chớp nhoáng để lấy hơn 60,000 APE Coin airdrop. Lỗi trong hợp đồng airdrop AirdropGrapesToken nằm ở việc chỉ dựa vào số dư tức thì để xác định quyền sở hữu NFT, cho phép kẻ tấn công vay NFT trong chốc lát để nhận airdrop.
Sự kiện Revest Finance
Vào ngày 27 tháng 3, Revest Finance đã bị tấn công, thiệt hại 120.000 USD. Lỗi tồn tại trong cuộc tấn công tái nhập ERC-1155, hợp đồng không kiểm tra đầy đủ khi đúc FNFT mới, dẫn đến lỗ hổng tái nhập.
Sự kiện NBA hút tiền
Vào ngày 21 tháng 4, dự án NBA đã bị tấn công. Hợp đồng The_Association_Sales gặp vấn đề giả mạo và tái sử dụng chữ ký trong quá trình xác minh danh sách trắng, không ghi lại và kiểm tra chữ ký đã được sử dụng.
Sự kiện Akutar
Vào ngày 23 tháng 4, lỗ hổng hợp đồng AkuAuction của dự án Akutar đã dẫn đến việc 11,5 nghìn ETH (khoảng 34 triệu USD) bị khóa. Vấn đề chính bao gồm chức năng hoàn tiền có thể bị ngắt quãng một cách độc hại và việc không xem xét tình huống người dùng đấu thầu nhiều lần dẫn đến việc hoàn tiền vĩnh viễn thất bại.
sự kiện XCarnival
Vào ngày 24 tháng 6, XCarnival đã bị tấn công, thiệt hại 3087 ETH (khoảng 3,8 triệu đô la Mỹ). Hợp đồng XNFT không kiểm tra danh sách trắng địa chỉ xToken khi staking NFT, và không kiểm tra trạng thái hồ sơ thế chấp khi vay mượn, khiến kẻ tấn công có thể sử dụng lại hồ sơ thế chấp không hợp lệ để vay mượn.
Các câu hỏi thường gặp về kiểm toán hợp đồng NFT
Mạo danh và tái sử dụng chữ ký:
Thiếu xác thực thực hiện lại, chẳng hạn như nonce của người dùng
Kiểm tra chữ ký không hợp lý, như không kiểm tra trường hợp địa chỉ không
Lỗ hổng logic:
Quản trị viên đúc tiền có thể vượt qua giới hạn tổng số lượng.
Trong quá trình đấu giá có rủi ro tấn công phụ thuộc vào thứ tự giao dịch
Tấn công tái nhập ERC721/ERC1155:
Chức năng thông báo chuyển tiền có thể dẫn đến tấn công tái nhập
Phạm vi ủy quyền quá lớn:
Yêu cầu cấp quyền quá mức, tăng rủi ro NFT bị đánh cắp
Kiểm soát giá:
Giá NFT phụ thuộc vào hợp đồng bên ngoài, có thể bị thao túng bởi khoản vay chớp nhoáng.
Xét về những vấn đề phổ biến này và các sự kiện an ninh thực tế đã xảy ra, việc thực hiện kiểm toán an ninh chuyên nghiệp cho hợp đồng NFT trở nên vô cùng quan trọng. Các bên dự án nên coi trọng an ninh hợp đồng và thực hiện các biện pháp bảo vệ toàn diện nhằm giảm thiểu rủi ro tiềm ẩn.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
16 thích
Phần thưởng
16
8
Chia sẻ
Bình luận
0/400
WhaleWatcher
· 36phút trước
Khóa riêng lại nổ rồi, ai dám nhảy vào nữa.
Xem bản gốcTrả lời0
RetailTherapist
· 07-20 22:36
chơi đùa với mọi người chơi đùa với mọi người chơi đùa với mọi người còn không bằng đi chép bài mua mua mua
Xem bản gốcTrả lời0
GreenCandleCollector
· 07-20 07:14
Lại là một vở kịch chơi đùa với mọi người trong thế giới tiền điện tử.
Xem bản gốcTrả lời0
GateUser-c802f0e8
· 07-19 15:27
Hợp đồng này có quá nhiều lỗ hổng, sớm muộn gì cũng sẽ chìm thôi.
Xem bản gốcTrả lời0
shadowy_supercoder
· 07-19 15:12
Kiểm toán hợp đồng không đạt yêu cầu, đáng phải mất tiền thôi.
Xem bản gốcTrả lời0
GateUser-beba108d
· 07-19 15:12
Lại có lỗ hổng dự án bị phát hiện, thời buổi này thật sự dám mua thì thua.
Xem bản gốcTrả lời0
MetaNeighbor
· 07-19 15:12
Những người quản lý các hợp đồng này ít nhất có học qua lập trình không?
Các rủi ro an ninh hợp đồng NFT thường xuyên xảy ra, trong nửa đầu năm đã mất 64,9 triệu USD.
An toàn hợp đồng NFT: Tổng quan sự kiện nửa đầu năm 2022 và phân tích các vấn đề thường gặp
Trong nửa đầu năm 2022, lĩnh vực NFT đã xảy ra nhiều sự kiện an ninh, gây ra thiệt hại kinh tế lớn. Theo theo dõi của nền tảng dữ liệu, đã có tổng cộng 10 sự kiện an ninh chính xảy ra, với thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý là sự kiện lừa đảo trên Discord xảy ra gần như hàng ngày, dẫn đến việc người dùng cá nhân thường xuyên gặp thiệt hại.
Tổng quan về các sự kiện an ninh điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, hơn 100 NFT đã bị đánh cắp. Lỗ hổng xuất phát từ lỗi logic trong hợp đồng TreasureMarketplaceBuyer, không kiểm tra loại token trước khi tính giá, dẫn đến việc có thể mua NFT với chi phí bằng không. Sự kiện này đã phơi bày những rủi ro logic do việc sử dụng hỗn hợp token ERC-1155 và ERC-721.
sự kiện airdrop APE Coin
Vào ngày 17 tháng 3, hacker đã sử dụng vay chớp nhoáng để lấy hơn 60,000 APE Coin airdrop. Lỗi trong hợp đồng airdrop AirdropGrapesToken nằm ở việc chỉ dựa vào số dư tức thì để xác định quyền sở hữu NFT, cho phép kẻ tấn công vay NFT trong chốc lát để nhận airdrop.
Sự kiện Revest Finance
Vào ngày 27 tháng 3, Revest Finance đã bị tấn công, thiệt hại 120.000 USD. Lỗi tồn tại trong cuộc tấn công tái nhập ERC-1155, hợp đồng không kiểm tra đầy đủ khi đúc FNFT mới, dẫn đến lỗ hổng tái nhập.
Sự kiện NBA hút tiền
Vào ngày 21 tháng 4, dự án NBA đã bị tấn công. Hợp đồng The_Association_Sales gặp vấn đề giả mạo và tái sử dụng chữ ký trong quá trình xác minh danh sách trắng, không ghi lại và kiểm tra chữ ký đã được sử dụng.
Sự kiện Akutar
Vào ngày 23 tháng 4, lỗ hổng hợp đồng AkuAuction của dự án Akutar đã dẫn đến việc 11,5 nghìn ETH (khoảng 34 triệu USD) bị khóa. Vấn đề chính bao gồm chức năng hoàn tiền có thể bị ngắt quãng một cách độc hại và việc không xem xét tình huống người dùng đấu thầu nhiều lần dẫn đến việc hoàn tiền vĩnh viễn thất bại.
sự kiện XCarnival
Vào ngày 24 tháng 6, XCarnival đã bị tấn công, thiệt hại 3087 ETH (khoảng 3,8 triệu đô la Mỹ). Hợp đồng XNFT không kiểm tra danh sách trắng địa chỉ xToken khi staking NFT, và không kiểm tra trạng thái hồ sơ thế chấp khi vay mượn, khiến kẻ tấn công có thể sử dụng lại hồ sơ thế chấp không hợp lệ để vay mượn.
Các câu hỏi thường gặp về kiểm toán hợp đồng NFT
Mạo danh và tái sử dụng chữ ký:
Lỗ hổng logic:
Tấn công tái nhập ERC721/ERC1155:
Phạm vi ủy quyền quá lớn:
Kiểm soát giá:
Xét về những vấn đề phổ biến này và các sự kiện an ninh thực tế đã xảy ra, việc thực hiện kiểm toán an ninh chuyên nghiệp cho hợp đồng NFT trở nên vô cùng quan trọng. Các bên dự án nên coi trọng an ninh hợp đồng và thực hiện các biện pháp bảo vệ toàn diện nhằm giảm thiểu rủi ro tiềm ẩn.