An toàn hợp đồng NFT: Tổng quan sự kiện nửa đầu năm 2022 và các điểm cần kiểm toán
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra thiệt hại lớn. Theo một nền tảng an ninh blockchain, trong nửa đầu năm đã xảy ra tổng cộng 10 sự kiện an ninh NFT chính, tổng thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Trong đó, tấn công lừa đảo trên nền tảng Discord đặc biệt hoành hành, hầu như mỗi ngày có máy chủ bị tấn công, dẫn đến thiệt hại tài sản của người dùng.
Tổng quan về các sự kiện an ninh điển hình
Sự kiện TreasureDAO
Ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, hơn 100 NFT đã bị đánh cắp. Lỗ hổng xuất phát từ lỗi logic trong hàm buyItem của hợp đồng TreasureMarketplaceBuyer, không thực hiện kiểm tra loại token trước khi tính giá, dẫn đến việc có thể mua NFT với giá 0 token. Điều này thể hiện vấn đề hỗn loạn logic do sự kết hợp sử dụng token ERC-1155 và ERC-721.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3, hacker đã sử dụng vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Lỗi nằm trong hợp đồng airdrop AirdropGrapesToken, chỉ dựa vào balanceOf() để xác định quyền sở hữu NFT, và cách này có thể bị thao túng bằng vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3, Revest Finance đã bị tấn công và thiệt hại 120.000 đô la. Nguyên nhân là do hợp đồng Revest có lỗ hổng tái nhập ERC-1155, không xử lý đúng logic đúc FNFT.
Sự kiện NBA hái cỏ
Ngày 21 tháng 4, dự án NBA đã bị tấn công bởi hacker. Hợp đồng The_Association_Sales gặp vấn đề về việc giả mạo và tái sử dụng chữ ký trong quá trình xác thực danh sách trắng, không lưu trữ và kiểm tra chữ ký đã sử dụng.
Sự kiện Akutar
Ngày 23 tháng 4, lỗ hổng hợp đồng AkuAuction của dự án Akutar đã dẫn đến việc 11,5 nghìn ETH ( khoảng 34 triệu USD ) bị khóa. Có hai lỗ hổng logic chính: hàm hoàn tiền có thể bị ngắt bởi kẻ xấu, và không xem xét tình huống người dùng đấu thầu nhiều lần.
Sự kiện XCarnival
Ngày 24 tháng 6, giao thức cho vay XCarnival bị tấn công gây thiệt hại khoảng 3,8 triệu USD. Hàm pledgeAndBorrow trong hợp đồng XNFT không kiểm tra hiệu quả địa chỉ xToken và trạng thái ghi chép thế chấp.
Các câu hỏi thường gặp về kiểm toán hợp đồng NFT
Sử dụng và tái sử dụng chữ ký:
Thiếu xác thực thực hiện lại, chẳng hạn như nonce của người dùng
Kiểm tra chữ ký không chặt chẽ, như không kiểm tra địa chỉ không.
Lỗ hổng logic:
Giới hạn tổng số lượng tiền đúc không hợp lý
Quy trình đấu giá có sự phụ thuộc vào thứ tự giao dịch
Tấn công tái nhập ERC721/ERC1155:
Chức năng thông báo chuyển khoản có thể gây ra việc gọi lại
Phạm vi ủy quyền quá lớn:
Yêu cầu cấp quyền quá mức, tăng rủi ro tài sản bị đánh cắp
Kiểm soát giá:
Giá NFT phụ thuộc vào dữ liệu bên ngoài có thể bị thao túng
Vì sự kiện an toàn hợp đồng NFT xảy ra thường xuyên và gây ra tổn thất lớn, các bên dự án nên chú trọng đến việc kiểm toán an toàn hợp đồng, tìm kiếm các công ty an toàn chuyên nghiệp để tiến hành kiểm tra toàn diện, nhằm giảm thiểu rủi ro an toàn.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
18 thích
Phần thưởng
18
7
Chia sẻ
Bình luận
0/400
PessimisticOracle
· 07-08 18:02
Cũng chỉ thua lỗ 6000w đô la mỹ
Xem bản gốcTrả lời0
LayerZeroHero
· 07-07 22:54
Quả thật, đã phát hiện ra vấn đề trong cuộc kiểm toán. Dữ liệu chuỗi sẽ không bao giờ lừa dối.
Xem bản gốcTrả lời0
BoredRiceBall
· 07-06 22:23
đồ ngốc thua lỗ giống như chảo dầu bị nổ
Xem bản gốcTrả lời0
ThesisInvestor
· 07-06 15:15
Thật không thể tin nổi, hãy xem từng người một.
Xem bản gốcTrả lời0
ClassicDumpster
· 07-06 15:14
又有 đồ ngốc bị chơi đùa với mọi người咯
Xem bản gốcTrả lời0
MidnightSeller
· 07-06 15:10
Được chơi cho Suckers không có hồi kết.
Xem bản gốcTrả lời0
MEVHunterX
· 07-06 14:52
Chơi thì chơi, đừng để mất tiền là được. Bên dự án thật sự là một cái bẫy.
Các rủi ro an ninh của hợp đồng NFT xảy ra thường xuyên, thiệt hại 64,9 triệu USD trong nửa đầu năm 2022.
An toàn hợp đồng NFT: Tổng quan sự kiện nửa đầu năm 2022 và các điểm cần kiểm toán
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra thiệt hại lớn. Theo một nền tảng an ninh blockchain, trong nửa đầu năm đã xảy ra tổng cộng 10 sự kiện an ninh NFT chính, tổng thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Trong đó, tấn công lừa đảo trên nền tảng Discord đặc biệt hoành hành, hầu như mỗi ngày có máy chủ bị tấn công, dẫn đến thiệt hại tài sản của người dùng.
Tổng quan về các sự kiện an ninh điển hình
Sự kiện TreasureDAO
Ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, hơn 100 NFT đã bị đánh cắp. Lỗ hổng xuất phát từ lỗi logic trong hàm buyItem của hợp đồng TreasureMarketplaceBuyer, không thực hiện kiểm tra loại token trước khi tính giá, dẫn đến việc có thể mua NFT với giá 0 token. Điều này thể hiện vấn đề hỗn loạn logic do sự kết hợp sử dụng token ERC-1155 và ERC-721.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3, hacker đã sử dụng vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Lỗi nằm trong hợp đồng airdrop AirdropGrapesToken, chỉ dựa vào balanceOf() để xác định quyền sở hữu NFT, và cách này có thể bị thao túng bằng vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3, Revest Finance đã bị tấn công và thiệt hại 120.000 đô la. Nguyên nhân là do hợp đồng Revest có lỗ hổng tái nhập ERC-1155, không xử lý đúng logic đúc FNFT.
Sự kiện NBA hái cỏ
Ngày 21 tháng 4, dự án NBA đã bị tấn công bởi hacker. Hợp đồng The_Association_Sales gặp vấn đề về việc giả mạo và tái sử dụng chữ ký trong quá trình xác thực danh sách trắng, không lưu trữ và kiểm tra chữ ký đã sử dụng.
Sự kiện Akutar
Ngày 23 tháng 4, lỗ hổng hợp đồng AkuAuction của dự án Akutar đã dẫn đến việc 11,5 nghìn ETH ( khoảng 34 triệu USD ) bị khóa. Có hai lỗ hổng logic chính: hàm hoàn tiền có thể bị ngắt bởi kẻ xấu, và không xem xét tình huống người dùng đấu thầu nhiều lần.
Sự kiện XCarnival
Ngày 24 tháng 6, giao thức cho vay XCarnival bị tấn công gây thiệt hại khoảng 3,8 triệu USD. Hàm pledgeAndBorrow trong hợp đồng XNFT không kiểm tra hiệu quả địa chỉ xToken và trạng thái ghi chép thế chấp.
Các câu hỏi thường gặp về kiểm toán hợp đồng NFT
Sử dụng và tái sử dụng chữ ký:
Lỗ hổng logic:
Tấn công tái nhập ERC721/ERC1155:
Phạm vi ủy quyền quá lớn:
Kiểm soát giá:
Vì sự kiện an toàn hợp đồng NFT xảy ra thường xuyên và gây ra tổn thất lớn, các bên dự án nên chú trọng đến việc kiểm toán an toàn hợp đồng, tìm kiếm các công ty an toàn chuyên nghiệp để tiến hành kiểm tra toàn diện, nhằm giảm thiểu rủi ro an toàn.