Keamanan Kontrak NFT: Analisis Kejadian Semester Pertama dan Diskusi Masalah Umum
Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT sering terjadi, menyebabkan kerugian besar. Menurut pemantauan platform data, telah terjadi 10 insiden keamanan utama, dengan kerugian sekitar 64,9 juta dolar. Metode serangan terutama mencakup eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Di antara metode tersebut, serangan phishing di platform Discord sangat merajalela, hampir setiap hari ada server yang diserang, mengakibatkan kerugian yang sering dialami pengguna.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang oleh peretas, lebih dari 100 NFT dicuri. Kerentanan berasal dari masalah logika dalam kontrak TreasureMarketplaceBuyer. Kontrak tidak membedakan antara token ERC-1155 dan ERC-721 saat memproses, yang menyebabkan NFT dapat dibeli dengan membayar 0 token.
Acara airdrop APE Coin
Pada 17 Maret 2022, peretas memanfaatkan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin dari airdrop. Kontrak airdrop AirdropGrapesToken menggunakan status instan untuk menentukan kepemilikan pengguna terhadap NFT BAYC/MAYC, yang dieksploitasi oleh penyerang menggunakan pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance diserang, mengalami kerugian sebesar 120.000 dolar. Kerentanan terjadi pada serangan reentrancy ERC-1155, di mana kontrak tidak menangani variabel status dengan benar saat mencetak FNFT baru, yang menyebabkan kerentanan reentrancy.
Peristiwa NBA mengambil keuntungan
Pada 21 April 2022, proyek NBA diserang oleh hacker. Kontrak The_Association_Sales memiliki masalah pemalsuan dan penggunaan kembali tanda tangan selama verifikasi daftar putih, tidak mencatat tanda tangan yang telah digunakan dan tidak memverifikasi msg.sender.
Akutar事件
Pada 23 April 2022, celah kontrak AkuAuction dari proyek Akutar menyebabkan 11539ETH (sekitar 34 juta dolar AS) terkunci. Kontrak tersebut memiliki masalah logika pengembalian dana, yang tidak mempertimbangkan situasi pengguna yang menawar beberapa kali, sehingga operasi pengembalian dana tidak dapat dilaksanakan.
Peristiwa XCarnival
Pada 24 Juni 2022, XCarnival diserang, kehilangan 3087 Ethereum (sekitar 3,8 juta dolar AS). Kontrak XNFT tidak memeriksa keabsahan alamat xToken saat melakukan staking NFT, dan tidak memverifikasi status catatan jaminan saat meminjam.
Pertanyaan Umum tentang Kontrak NFT
Penandatanganan yang disalahgunakan dan digunakan kembali:
Kurang verifikasi eksekusi ulang
Pemeriksaan tanda tangan tidak ketat
Celah logika:
Pengendalian total jumlah koin yang tidak tepat
Urutan transaksi dalam proses lelang bergantung pada serangan
Serangan Reentrancy ERC721/ERC1155:
Fitur notifikasi transfer mungkin menyebabkan reentrancy
Ruang lingkup otorisasi terlalu besar:
Meminta otorisasi berlebihan, meningkatkan risiko pencurian NFT
Manipulasi Harga:
Harga NFT bergantung pada faktor yang mudah dimanipulasi
Mengingat seringnya terjadi insiden keamanan kontrak NFT, audit keamanan profesional menjadi sangat penting. Pihak proyek harus memperhatikan keamanan kontrak dan mencari lembaga profesional untuk melakukan audit menyeluruh guna mengurangi risiko keamanan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
6
Posting ulang
Bagikan
Komentar
0/400
WalletDivorcer
· 07-31 14:32
Di mana-mana ada suckers dan masih ada yang play people for suckers. Tidak ada habis-habisnya.
Lihat AsliBalas0
OnchainFortuneTeller
· 07-28 22:52
Sekali lagi dibuka! Discord hanya surga phishing
Lihat AsliBalas0
HashRatePhilosopher
· 07-28 15:55
Seberapa banyak suckers yang get on board, sebanyak itu pula Hacker yang mengawasi.
Lihat AsliBalas0
SchrodingersPaper
· 07-28 15:50
Cut Loss selama enam bulan, dan sekarang mengalami kecelakaan keamanan. Tertawa sampai mati.
Lihat AsliBalas0
CountdownToBroke
· 07-28 15:48
Kontrak ini terlalu tidak jelas, rugi total.
Lihat AsliBalas0
AltcoinAnalyst
· 07-28 15:29
Data enkripsi sudah menjadi hal yang mendesak. Jika terus seperti ini, TVL akan turun ke nol.
Masalah keamanan kontrak NFT sering terjadi, kerugian hampir 65 juta dolar AS pada paruh pertama tahun ini.
Keamanan Kontrak NFT: Analisis Kejadian Semester Pertama dan Diskusi Masalah Umum
Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT sering terjadi, menyebabkan kerugian besar. Menurut pemantauan platform data, telah terjadi 10 insiden keamanan utama, dengan kerugian sekitar 64,9 juta dolar. Metode serangan terutama mencakup eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Di antara metode tersebut, serangan phishing di platform Discord sangat merajalela, hampir setiap hari ada server yang diserang, mengakibatkan kerugian yang sering dialami pengguna.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang oleh peretas, lebih dari 100 NFT dicuri. Kerentanan berasal dari masalah logika dalam kontrak TreasureMarketplaceBuyer. Kontrak tidak membedakan antara token ERC-1155 dan ERC-721 saat memproses, yang menyebabkan NFT dapat dibeli dengan membayar 0 token.
Acara airdrop APE Coin
Pada 17 Maret 2022, peretas memanfaatkan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin dari airdrop. Kontrak airdrop AirdropGrapesToken menggunakan status instan untuk menentukan kepemilikan pengguna terhadap NFT BAYC/MAYC, yang dieksploitasi oleh penyerang menggunakan pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance diserang, mengalami kerugian sebesar 120.000 dolar. Kerentanan terjadi pada serangan reentrancy ERC-1155, di mana kontrak tidak menangani variabel status dengan benar saat mencetak FNFT baru, yang menyebabkan kerentanan reentrancy.
Peristiwa NBA mengambil keuntungan
Pada 21 April 2022, proyek NBA diserang oleh hacker. Kontrak The_Association_Sales memiliki masalah pemalsuan dan penggunaan kembali tanda tangan selama verifikasi daftar putih, tidak mencatat tanda tangan yang telah digunakan dan tidak memverifikasi msg.sender.
Akutar事件
Pada 23 April 2022, celah kontrak AkuAuction dari proyek Akutar menyebabkan 11539ETH (sekitar 34 juta dolar AS) terkunci. Kontrak tersebut memiliki masalah logika pengembalian dana, yang tidak mempertimbangkan situasi pengguna yang menawar beberapa kali, sehingga operasi pengembalian dana tidak dapat dilaksanakan.
Peristiwa XCarnival
Pada 24 Juni 2022, XCarnival diserang, kehilangan 3087 Ethereum (sekitar 3,8 juta dolar AS). Kontrak XNFT tidak memeriksa keabsahan alamat xToken saat melakukan staking NFT, dan tidak memverifikasi status catatan jaminan saat meminjam.
Pertanyaan Umum tentang Kontrak NFT
Penandatanganan yang disalahgunakan dan digunakan kembali:
Celah logika:
Serangan Reentrancy ERC721/ERC1155:
Ruang lingkup otorisasi terlalu besar:
Manipulasi Harga:
Mengingat seringnya terjadi insiden keamanan kontrak NFT, audit keamanan profesional menjadi sangat penting. Pihak proyek harus memperhatikan keamanan kontrak dan mencari lembaga profesional untuk melakukan audit menyeluruh guna mengurangi risiko keamanan.