Phân tích an ninh hợp đồng NFT: Tổng quan sự kiện nửa đầu năm 2022 và thảo luận về các vấn đề thường gặp
Trong nửa đầu năm 2022, tình hình an ninh trong lĩnh vực NFT rất nghiêm trọng. Dữ liệu cho thấy có tổng cộng 10 sự kiện an ninh chính xảy ra, gây thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, các cuộc tấn công lừa đảo trên nền tảng Discord gần như xảy ra hàng ngày, khiến người dùng cá nhân thường xuyên chịu thiệt hại.
Phân tích sự kiện an ninh điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị tấn công, hơn 100 NFT đã bị đánh cắp. Nguyên nhân là do sự kết hợp sử dụng mã thông báo ERC-1155 và ERC-721 dẫn đến lỗ hổng logic. Hợp đồng khi xử lý việc mua mã thông báo không phân biệt loại mã thông báo, khiến kẻ tấn công có thể lợi dụng mã thông báo ERC-20 để mua NFT với chi phí bằng không.
sự kiện airdrop APE Coin
Vào ngày 17 tháng 3, hacker đã lấy được hơn 60.000 APE Coin airdrop thông qua việc vay nhanh. Lỗ hổng xuất phát từ việc hợp đồng airdrop sử dụng trạng thái tức thời để xác định quyền sở hữu NFT, điều này có thể bị thao túng bởi vay nhanh.
Sự kiện Revest Finance
Vào ngày 27 tháng 3, Revest Finance đã bị tấn công, thiệt hại 120.000 đô la Mỹ. Đây là một vụ tấn công điển hình theo kiểu gọi lại ERC-1155, do hợp đồng không xử lý đúng thứ tự cập nhật trạng thái khi đúc FNFT mới.
sự kiện NBA háo dưỡng
Vào ngày 21 tháng 4, dự án NBA đã bị tấn công. Vấn đề nằm ở cơ chế xác thực chữ ký trong danh sách trắng, có hai lỗ hổng chính là giả mạo chữ ký và tái sử dụng chữ ký.
Sự kiện Akutar
Vào ngày 23 tháng 4, dự án Akutar đã bị khóa 11539 ETH (khoảng 34 triệu đô la Mỹ) do lỗ hổng hợp đồng. Các vấn đề chính bao gồm khuyết điểm trong thiết kế hàm hoàn tiền và không tính đến trường hợp người dùng đấu thầu nhiều lần.
Sự kiện XCarnival
Vào ngày 24 tháng 6, XCarnival đã bị tấn công, mất 3087 ETH (khoảng 3,8 triệu USD). Lỗ hổng nằm ở chỗ không xác minh tính hợp pháp của địa chỉ xToken khi staking NFT và không kiểm tra trạng thái ghi chép thế chấp khi cho vay.
Các vấn đề an toàn thường gặp của hợp đồng NFT
Sử dụng và tái sử dụng chữ ký:
Thiếu xác thực thực thi lặp lại
Logic kiểm tra chữ ký không chặt chẽ
Lỗ hổng logic:
Kiểm soát tổng lượng tiền tệ không đúng cách
Thứ tự giao dịch trong quá trình đấu giá phụ thuộc vào tấn công
Tấn công Reentrancy ERC721/ERC1155:
Chức năng thông báo chuyển khoản có thể dẫn đến việc gọi lại.
Phạm vi ủy quyền quá lớn:
Quyền truy cập toàn cầu không cần thiết làm tăng rủi ro bị đánh cắp NFT
Kiểm soát giá:
Giá NFT phụ thuộc vào các yếu tố bên ngoài, dễ bị ảnh hưởng bởi các phương tiện như vay nhanh.
Vì tính phức tạp và rủi ro tiềm ẩn của hợp đồng NFT, việc tìm kiếm công ty an ninh chuyên nghiệp để thực hiện kiểm toán toàn diện là rất quan trọng nhằm ngăn ngừa các mối nguy cơ an ninh có thể xảy ra.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
3
Chia sẻ
Bình luận
0/400
PumpStrategist
· 07-31 16:38
典型 đồ ngốc bị chơi đùa với mọi người Rekt案例筹码高位集中都不看的
Xem bản gốcTrả lời0
ConsensusDissenter
· 07-31 16:17
6490 triệu đô la bị đánh cắp, thật là ngớ ngẩn
Xem bản gốcTrả lời0
MemeKingNFT
· 07-31 16:09
Đồ ngốc ơi, giữa những thăng trầm của đại lục, lòng tôi tan nát, nhớ lại sự đơn giản của những ngày đầu của thị trường tăng.
Phân tích rủi ro an toàn hợp đồng NFT: Bài học đằng sau khoản thua lỗ 64,9 triệu đô la trong nửa đầu năm 2022
Phân tích an ninh hợp đồng NFT: Tổng quan sự kiện nửa đầu năm 2022 và thảo luận về các vấn đề thường gặp
Trong nửa đầu năm 2022, tình hình an ninh trong lĩnh vực NFT rất nghiêm trọng. Dữ liệu cho thấy có tổng cộng 10 sự kiện an ninh chính xảy ra, gây thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, các cuộc tấn công lừa đảo trên nền tảng Discord gần như xảy ra hàng ngày, khiến người dùng cá nhân thường xuyên chịu thiệt hại.
Phân tích sự kiện an ninh điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị tấn công, hơn 100 NFT đã bị đánh cắp. Nguyên nhân là do sự kết hợp sử dụng mã thông báo ERC-1155 và ERC-721 dẫn đến lỗ hổng logic. Hợp đồng khi xử lý việc mua mã thông báo không phân biệt loại mã thông báo, khiến kẻ tấn công có thể lợi dụng mã thông báo ERC-20 để mua NFT với chi phí bằng không.
sự kiện airdrop APE Coin
Vào ngày 17 tháng 3, hacker đã lấy được hơn 60.000 APE Coin airdrop thông qua việc vay nhanh. Lỗ hổng xuất phát từ việc hợp đồng airdrop sử dụng trạng thái tức thời để xác định quyền sở hữu NFT, điều này có thể bị thao túng bởi vay nhanh.
Sự kiện Revest Finance
Vào ngày 27 tháng 3, Revest Finance đã bị tấn công, thiệt hại 120.000 đô la Mỹ. Đây là một vụ tấn công điển hình theo kiểu gọi lại ERC-1155, do hợp đồng không xử lý đúng thứ tự cập nhật trạng thái khi đúc FNFT mới.
sự kiện NBA háo dưỡng
Vào ngày 21 tháng 4, dự án NBA đã bị tấn công. Vấn đề nằm ở cơ chế xác thực chữ ký trong danh sách trắng, có hai lỗ hổng chính là giả mạo chữ ký và tái sử dụng chữ ký.
Sự kiện Akutar
Vào ngày 23 tháng 4, dự án Akutar đã bị khóa 11539 ETH (khoảng 34 triệu đô la Mỹ) do lỗ hổng hợp đồng. Các vấn đề chính bao gồm khuyết điểm trong thiết kế hàm hoàn tiền và không tính đến trường hợp người dùng đấu thầu nhiều lần.
Sự kiện XCarnival
Vào ngày 24 tháng 6, XCarnival đã bị tấn công, mất 3087 ETH (khoảng 3,8 triệu USD). Lỗ hổng nằm ở chỗ không xác minh tính hợp pháp của địa chỉ xToken khi staking NFT và không kiểm tra trạng thái ghi chép thế chấp khi cho vay.
Các vấn đề an toàn thường gặp của hợp đồng NFT
Sử dụng và tái sử dụng chữ ký:
Lỗ hổng logic:
Tấn công Reentrancy ERC721/ERC1155:
Phạm vi ủy quyền quá lớn:
Kiểm soát giá:
Vì tính phức tạp và rủi ro tiềm ẩn của hợp đồng NFT, việc tìm kiếm công ty an ninh chuyên nghiệp để thực hiện kiểm toán toàn diện là rất quan trọng nhằm ngăn ngừa các mối nguy cơ an ninh có thể xảy ra.