An toàn hợp đồng NFT: Phân tích sự kiện nửa đầu năm và thảo luận về các vấn đề thường gặp
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT diễn ra thường xuyên, gây ra thiệt hại lớn. Theo dữ liệu từ các nền tảng giám sát, đã xảy ra 10 sự kiện an ninh chính, với thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Trong đó, các cuộc tấn công lừa đảo trên nền tảng Discord đặc biệt hoành hành, hầu như mỗi ngày đều có máy chủ bị tấn công, dẫn đến việc người dùng thường xuyên chịu thiệt hại.
Phân tích sự kiện an ninh điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, hơn 100 NFT đã bị đánh cắp. Lỗ hổng xuất phát từ vấn đề logic trong hợp đồng TreasureMarketplaceBuyer. Hợp đồng không phân biệt giữa token ERC-1155 và ERC-721 khi xử lý, dẫn đến việc có thể mua NFT mà không cần thanh toán token.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, hacker đã sử dụng khoản vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Hợp đồng airdrop AirdropGrapesToken sử dụng trạng thái tức thì để xác định quyền sở hữu NFT BAYC/MAYC của người dùng, đã bị kẻ tấn công lợi dụng để thao túng bằng khoản vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công, thiệt hại 120.000 USD. Lỗ hổng xuất hiện trong cuộc tấn công tái nhập ERC-1155, hợp đồng không xử lý đúng biến trạng thái khi đúc FNFT mới, dẫn đến lỗ hổng tái nhập.
sự kiện NBA hái lông cừu
Vào ngày 21 tháng 4 năm 2022, dự án NBA đã bị tấn công bởi hacker. Hợp đồng The_Association_Sales gặp vấn đề giả mạo và tái sử dụng chữ ký trong quá trình xác minh danh sách trắng, không ghi lại chữ ký đã sử dụng và kiểm tra msg.sender.
Sự kiện Akutar
Ngày 23 tháng 4 năm 2022, lỗ hổng hợp đồng AkuAuction của dự án Akutar đã khiến 11539ETH (khoảng 34 triệu USD) bị khóa. Hợp đồng có vấn đề về logic hoàn tiền, không xem xét tình huống người dùng đặt thầu nhiều lần, khiến thao tác hoàn tiền không thể thực hiện.
Sự kiện XCarnival
Vào ngày 24 tháng 6 năm 2022, XCarnival đã bị tấn công, mất 3087 Ethereum (khoảng 3,8 triệu USD). Hợp đồng XNFT không kiểm tra tính hợp pháp của địa chỉ xToken khi đặt cọc NFT và không xác minh trạng thái ghi chép tài sản thế chấp khi cho vay.
Những câu hỏi thường gặp về hợp đồng NFT
Lợi dụng và tái sử dụng chữ ký:
Thiếu xác thực thực hiện lặp lại
Kiểm tra chữ ký không nghiêm ngặt
Lỗ hổng logic:
Kiểm soát tổng lượng tiền đúc không đúng cách
Thứ tự giao dịch trong quá trình đấu giá phụ thuộc vào tấn công
Tấn công tái nhập ERC721/ERC1155:
Chức năng thông báo chuyển khoản có thể gây ra tái nhập
Phạm vi ủy quyền quá lớn:
Yêu cầu cấp quyền quá mức, tăng rủi ro NFT bị đánh cắp
Kiểm soát giá:
Giá NFT phụ thuộc vào các yếu tố dễ bị thao túng
Vì những sự cố an ninh hợp đồng NFT thường xuyên xảy ra, việc kiểm toán an ninh chuyên nghiệp trở nên đặc biệt quan trọng. Các bên dự án nên chú trọng đến an ninh hợp đồng, tìm kiếm các tổ chức chuyên nghiệp để thực hiện kiểm toán toàn diện nhằm giảm thiểu rủi ro an ninh.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
16 thích
Phần thưởng
16
6
Đăng lại
Chia sẻ
Bình luận
0/400
WalletDivorcer
· 07-31 14:32
遍地 đồ ngốc còn có người chơi đùa với mọi người chơi đùa không hết了
Xem bản gốcTrả lời0
OnchainFortuneTeller
· 07-28 22:52
Lại bị phá nữa rồi! Discord chỉ là một thiên đường lừa đảo.
Xem bản gốcTrả lời0
HashRatePhilosopher
· 07-28 15:55
Bao nhiêu đồ ngốc lên xe thì có bấy nhiêu Hacker theo dõi.
Xem bản gốcTrả lời0
SchrodingersPaper
· 07-28 15:50
Cắt lỗ nửa năm, lại chơi đùa với mọi người đến tai nạn an toàn, cười chết.
Xem bản gốcTrả lời0
CountdownToBroke
· 07-28 15:48
Hợp đồng này cũng tệ quá đi, lỗ nặng rồi.
Xem bản gốcTrả lời0
AltcoinAnalyst
· 07-28 15:29
Dữ liệu mã hóa đã trở thành vấn đề cấp bách. Nếu tiếp tục như vậy, TVL sẽ giảm về 0.
Các rủi ro an ninh hợp đồng NFT thường xuyên xảy ra, thiệt hại gần 65 triệu USD trong nửa đầu năm.
An toàn hợp đồng NFT: Phân tích sự kiện nửa đầu năm và thảo luận về các vấn đề thường gặp
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT diễn ra thường xuyên, gây ra thiệt hại lớn. Theo dữ liệu từ các nền tảng giám sát, đã xảy ra 10 sự kiện an ninh chính, với thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Trong đó, các cuộc tấn công lừa đảo trên nền tảng Discord đặc biệt hoành hành, hầu như mỗi ngày đều có máy chủ bị tấn công, dẫn đến việc người dùng thường xuyên chịu thiệt hại.
Phân tích sự kiện an ninh điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, hơn 100 NFT đã bị đánh cắp. Lỗ hổng xuất phát từ vấn đề logic trong hợp đồng TreasureMarketplaceBuyer. Hợp đồng không phân biệt giữa token ERC-1155 và ERC-721 khi xử lý, dẫn đến việc có thể mua NFT mà không cần thanh toán token.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, hacker đã sử dụng khoản vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Hợp đồng airdrop AirdropGrapesToken sử dụng trạng thái tức thì để xác định quyền sở hữu NFT BAYC/MAYC của người dùng, đã bị kẻ tấn công lợi dụng để thao túng bằng khoản vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công, thiệt hại 120.000 USD. Lỗ hổng xuất hiện trong cuộc tấn công tái nhập ERC-1155, hợp đồng không xử lý đúng biến trạng thái khi đúc FNFT mới, dẫn đến lỗ hổng tái nhập.
sự kiện NBA hái lông cừu
Vào ngày 21 tháng 4 năm 2022, dự án NBA đã bị tấn công bởi hacker. Hợp đồng The_Association_Sales gặp vấn đề giả mạo và tái sử dụng chữ ký trong quá trình xác minh danh sách trắng, không ghi lại chữ ký đã sử dụng và kiểm tra msg.sender.
Sự kiện Akutar
Ngày 23 tháng 4 năm 2022, lỗ hổng hợp đồng AkuAuction của dự án Akutar đã khiến 11539ETH (khoảng 34 triệu USD) bị khóa. Hợp đồng có vấn đề về logic hoàn tiền, không xem xét tình huống người dùng đặt thầu nhiều lần, khiến thao tác hoàn tiền không thể thực hiện.
Sự kiện XCarnival
Vào ngày 24 tháng 6 năm 2022, XCarnival đã bị tấn công, mất 3087 Ethereum (khoảng 3,8 triệu USD). Hợp đồng XNFT không kiểm tra tính hợp pháp của địa chỉ xToken khi đặt cọc NFT và không xác minh trạng thái ghi chép tài sản thế chấp khi cho vay.
Những câu hỏi thường gặp về hợp đồng NFT
Lợi dụng và tái sử dụng chữ ký:
Lỗ hổng logic:
Tấn công tái nhập ERC721/ERC1155:
Phạm vi ủy quyền quá lớn:
Kiểm soát giá:
Vì những sự cố an ninh hợp đồng NFT thường xuyên xảy ra, việc kiểm toán an ninh chuyên nghiệp trở nên đặc biệt quan trọng. Các bên dự án nên chú trọng đến an ninh hợp đồng, tìm kiếm các tổ chức chuyên nghiệp để thực hiện kiểm toán toàn diện nhằm giảm thiểu rủi ro an ninh.