Keamanan Kontrak NFT: Tinjauan Peristiwa dan Poin Audit Paruh Pertama 2022

Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT sering terjadi, mengakibatkan kerugian besar. Menurut pemantauan dari suatu platform keamanan blockchain, terdapat 10 insiden keamanan NFT utama yang terjadi pada paruh pertama tahun ini, dengan total kerugian sekitar 64,9 juta USD. Metode serangan terutama mencakup eksploitasi celah kontrak, kebocoran kunci pribadi, dan phishing. Di antara itu, serangan phishing di platform Discord sangat merajalela, hampir setiap hari ada server yang diserang, menyebabkan kerugian aset bagi pengguna.

Tinjauan Kasus Keamanan yang Khas

Peristiwa TreasureDAO

Pada 3 Maret, platform perdagangan TreasureDAO diserang hacker, lebih dari 100 NFT dicuri. Kerentanan berasal dari kesalahan logika dalam fungsi buyItem dari kontrak TreasureMarketplaceBuyer, yang tidak memeriksa jenis token sebelum menghitung harga, sehingga memungkinkan pembelian NFT dengan harga 0 token. Ini mencerminkan masalah kebingungan logika akibat penggunaan campuran token ERC-1155 dan ERC-721.

Peristiwa APE Coin airdrop

Pada 17 Maret, hacker menggunakan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin airdrop. Kerentanan terdapat pada kontrak airdrop AirdropGrapesToken, yang hanya menggunakan balanceOf() untuk menentukan kepemilikan NFT, dan metode ini dapat dimanipulasi dengan pinjaman kilat.

Peristiwa Revest Finance

Pada 27 Maret, Revest Finance diserang dan mengalami kerugian sebesar 120.000 dolar AS. Penyebabnya adalah adanya kerentanan reentrancy ERC-1155 dalam kontrak Revest, yang tidak menangani logika pencetakan FNFT dengan benar.

NBA mencuri kesempatan

Pada 21 April, proyek NBA diserang oleh hacker. Kontrak The_Association_Sales memiliki masalah pemalsuan dan penggunaan kembali tanda tangan saat verifikasi whitelist, dan tidak menyimpan serta memverifikasi tanda tangan yang telah digunakan.

Peristiwa Akutar

Pada 23 April, kerentanan kontrak AkuAuction dari proyek Akutar menyebabkan 11.5 ribu ETH ( sekitar 34 juta dolar AS ) terkunci. Terdapat dua kerentanan logika utama: fungsi pengembalian dana dapat terganggu secara jahat, dan tidak mempertimbangkan situasi penawaran ganda dari pengguna.

Peristiwa XCarnival

Pada 24 Juni, protokol pinjaman XCarnival diserang dan mengalami kerugian sekitar 3,8 juta dolar AS. Fungsi pledgeAndBorrow dalam kontrak XNFT tidak melakukan pemeriksaan yang efektif terhadap alamat xToken dan status catatan jaminan.

Pertanyaan Umum tentang Audit Kontrak NFT

1. Penyalahgunaan dan penggunaan kembali tanda tangan:

   • Kurang verifikasi eksekusi ulang, seperti nonce pengguna
   • Pemeriksaan tanda tangan tidak ketat, seperti tidak memeriksa alamat nol

2. Celah logika:

   • Pembatasan total jumlah koin yang tidak tepat
   • Proses lelang memiliki ketergantungan urutan transaksi

3. Serangan Reentrancy ERC721/ERC1155:

   • Fitur pemberitahuan transfer mungkin menyebabkan reentrancy

4. Ruang lingkup otorisasi terlalu besar:

   • Meminta otorisasi berlebihan, meningkatkan risiko pencurian aset

5. Manipulasi harga:

   • Harga NFT tergantung pada data eksternal yang dapat dimanipulasi

Mengingat sering terjadinya insiden keamanan kontrak NFT dan kerugian yang besar, pihak proyek harus memperhatikan audit keamanan kontrak, mencari perusahaan keamanan profesional untuk melakukan pemeriksaan menyeluruh, untuk mengurangi risiko keamanan.