Các rủi ro an ninh của hợp đồng NFT xảy ra thường xuyên, thiệt hại 64,9 triệu USD trong nửa đầu năm 2022.

robot
Đang tạo bản tóm tắt

An toàn hợp đồng NFT: Tổng quan sự kiện nửa đầu năm 2022 và các điểm cần kiểm toán

Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra thiệt hại lớn. Theo một nền tảng an ninh blockchain, trong nửa đầu năm đã xảy ra tổng cộng 10 sự kiện an ninh NFT chính, tổng thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Trong đó, tấn công lừa đảo trên nền tảng Discord đặc biệt hoành hành, hầu như mỗi ngày có máy chủ bị tấn công, dẫn đến thiệt hại tài sản của người dùng.

Phân tích sự kiện an toàn NFT nửa đầu năm: Những trường hợp điển hình nào đáng để chúng ta cảnh giác?

Tổng quan về các sự kiện an ninh điển hình

Sự kiện TreasureDAO

Ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, hơn 100 NFT đã bị đánh cắp. Lỗ hổng xuất phát từ lỗi logic trong hàm buyItem của hợp đồng TreasureMarketplaceBuyer, không thực hiện kiểm tra loại token trước khi tính giá, dẫn đến việc có thể mua NFT với giá 0 token. Điều này thể hiện vấn đề hỗn loạn logic do sự kết hợp sử dụng token ERC-1155 và ERC-721.

Sự kiện airdrop APE Coin

Vào ngày 17 tháng 3, hacker đã sử dụng vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Lỗi nằm trong hợp đồng airdrop AirdropGrapesToken, chỉ dựa vào balanceOf() để xác định quyền sở hữu NFT, và cách này có thể bị thao túng bằng vay chớp nhoáng.

Sự kiện Revest Finance

Vào ngày 27 tháng 3, Revest Finance đã bị tấn công và thiệt hại 120.000 đô la. Nguyên nhân là do hợp đồng Revest có lỗ hổng tái nhập ERC-1155, không xử lý đúng logic đúc FNFT.

Sự kiện NBA hái cỏ

Ngày 21 tháng 4, dự án NBA đã bị tấn công bởi hacker. Hợp đồng The_Association_Sales gặp vấn đề về việc giả mạo và tái sử dụng chữ ký trong quá trình xác thực danh sách trắng, không lưu trữ và kiểm tra chữ ký đã sử dụng.

Sự kiện Akutar

Ngày 23 tháng 4, lỗ hổng hợp đồng AkuAuction của dự án Akutar đã dẫn đến việc 11,5 nghìn ETH ( khoảng 34 triệu USD ) bị khóa. Có hai lỗ hổng logic chính: hàm hoàn tiền có thể bị ngắt bởi kẻ xấu, và không xem xét tình huống người dùng đấu thầu nhiều lần.

Sự kiện XCarnival

Ngày 24 tháng 6, giao thức cho vay XCarnival bị tấn công gây thiệt hại khoảng 3,8 triệu USD. Hàm pledgeAndBorrow trong hợp đồng XNFT không kiểm tra hiệu quả địa chỉ xToken và trạng thái ghi chép thế chấp.

Phân tích sự kiện an toàn NFT nửa đầu năm: Những trường hợp điển hình nào mà chúng ta nên cảnh giác?

Các câu hỏi thường gặp về kiểm toán hợp đồng NFT

  1. Sử dụng và tái sử dụng chữ ký:

    • Thiếu xác thực thực hiện lại, chẳng hạn như nonce của người dùng
    • Kiểm tra chữ ký không chặt chẽ, như không kiểm tra địa chỉ không.
  2. Lỗ hổng logic:

    • Giới hạn tổng số lượng tiền đúc không hợp lý
    • Quy trình đấu giá có sự phụ thuộc vào thứ tự giao dịch
  3. Tấn công tái nhập ERC721/ERC1155:

    • Chức năng thông báo chuyển khoản có thể gây ra việc gọi lại
  4. Phạm vi ủy quyền quá lớn:

    • Yêu cầu cấp quyền quá mức, tăng rủi ro tài sản bị đánh cắp
  5. Kiểm soát giá:

    • Giá NFT phụ thuộc vào dữ liệu bên ngoài có thể bị thao túng

Phân tích sự kiện an ninh NFT nửa đầu năm: Những trường hợp điển hình nào đáng để chúng ta cảnh giác?

Vì sự kiện an toàn hợp đồng NFT xảy ra thường xuyên và gây ra tổn thất lớn, các bên dự án nên chú trọng đến việc kiểm toán an toàn hợp đồng, tìm kiếm các công ty an toàn chuyên nghiệp để tiến hành kiểm tra toàn diện, nhằm giảm thiểu rủi ro an toàn.

Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
  • Phần thưởng
  • 7
  • Chia sẻ
Bình luận
0/400
PessimisticOraclevip
· 07-08 18:02
Cũng chỉ thua lỗ 6000w đô la mỹ
Xem bản gốcTrả lời0
LayerZeroHerovip
· 07-07 22:54
Quả thật, đã phát hiện ra vấn đề trong cuộc kiểm toán. Dữ liệu chuỗi sẽ không bao giờ lừa dối.
Xem bản gốcTrả lời0
BoredRiceBallvip
· 07-06 22:23
đồ ngốc thua lỗ giống như chảo dầu bị nổ
Xem bản gốcTrả lời0
ThesisInvestorvip
· 07-06 15:15
Thật không thể tin nổi, hãy xem từng người một.
Xem bản gốcTrả lời0
ClassicDumpstervip
· 07-06 15:14
又有 đồ ngốc bị chơi đùa với mọi người咯
Xem bản gốcTrả lời0
MidnightSellervip
· 07-06 15:10
Được chơi cho Suckers không có hồi kết.
Xem bản gốcTrả lời0
MEVHunterXvip
· 07-06 14:52
Chơi thì chơi, đừng để mất tiền là được. Bên dự án thật sự là một cái bẫy.
Xem bản gốcTrả lời0
  • Ghim
Giao dịch tiền điện tử mọi lúc mọi nơi
qrCode
Quét để tải xuống ứng dụng Gate
Cộng đồng
Tiếng Việt
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)