Masalah Umum dan Analisis Kasus Klasik dalam Audit Keamanan Kontrak NFT
Dalam beberapa waktu terakhir, insiden keamanan di bidang NFT sering terjadi, menyebabkan kerugian ekonomi yang besar. Menurut data pemantauan keamanan blockchain, pada paruh pertama tahun 2022 terjadi 10 insiden keamanan NFT besar, yang mengakibatkan kerugian sekitar 64,9 juta dolar AS. Metode serangan utama dalam insiden ini termasuk eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang, mengakibatkan lebih dari 100 NFT dicuri. Kerentanan berasal dari kesalahan logika dalam kontrak TreasureMarketplaceBuyer, yang tidak membedakan dengan benar antara token ERC-1155 dan ERC-721, memungkinkan penyerang untuk membeli NFT tanpa membayar.
peristiwa airdrop APE Coin
Pada 17 Maret 2022, penyerang menggunakan pinjaman kilat untuk mendapatkan lebih dari 60 ribu APE Coin airdrop. Masalah terletak pada kontrak AirdropGrapesToken, di mana kelayakan airdrop hanya didasarkan pada status sesaat, yang dimanipulasi oleh penyerang menggunakan pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance diserang, dengan kerugian sekitar 120.000 dolar AS. Kerentanan tersebut melibatkan serangan reentrancy ERC-1155, yang berasal dari kontrak yang tidak menangani urutan perubahan status dengan benar saat mencetak FNFT baru.
NBA memanfaatkan insiden
Pada 21 April 2022, proyek NBA mengalami serangan. Masalah terletak pada mekanisme verifikasi tanda tangan kontrak The_Association_Sales, yang memiliki risiko pemalsuan dan penggunaan ulang tanda tangan.
Akutar事件
Pada 23 April 2022, kontrak AkuAuction proyek Akutar mengalami kerentanan logika due, yang mengakibatkan 11539 ETH (sekitar 34 juta dolar AS) ter鎖. Masalah utama termasuk cacat desain fungsi pengembalian dana dan tidak mempertimbangkan situasi di mana pengguna melakukan penawaran berulang kali.
Kejadian XCarnival
Pada 24 Juni 2022, protokol pinjaman NFT XCarnival diserang, dengan kerugian sekitar 3,8 juta dolar. Fungsi pledgeAndBorrow dalam kontrak XNFT memiliki celah logika, dan tidak memverifikasi validitas NFT yang dijaminkan dengan benar.
Pertanyaan Umum tentang Audit Kontrak NFT
Penyalahgunaan dan penggunaan kembali tanda tangan:
Kurang verifikasi penggunaan ulang tanda tangan
Logika pemeriksaan tanda tangan tidak ketat
Celah logika:
Pengendalian jumlah koin yang tidak tepat
Urutan transaksi dalam proses lelang bergantung pada serangan
Serangan reentrancy ERC721/ERC1155:
Fitur pemberitahuan transfer mungkin menyebabkan reentrancy
Ruang lingkup otorisasi terlalu besar:
Otorisasi global yang tidak perlu meningkatkan risiko keamanan
Manipulasi harga:
Harga NFT tergantung pada faktor eksternal yang mudah dimanipulasi
Masalah ini sering dimanfaatkan oleh peretas dalam serangan nyata. Oleh karena itu, melakukan audit keamanan profesional pada proyek NFT sangat penting, dapat secara efektif mencegah potensi risiko keamanan dan melindungi keamanan aset pengguna.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
11 Suka
Hadiah
11
4
Posting ulang
Bagikan
Komentar
0/400
GasWaster
· 4jam yang lalu
kehilangan lebih banyak eth pada tx yang gagal daripada nilai portofolio saya smh... hari lain kontrak pintar lain yang hancur
Lihat AsliBalas0
zkProofInThePudding
· 10jam yang lalu
Sekali lagi, ada celah untuk mendapatkan NFT secara gratis.
Lihat AsliBalas0
AlwaysAnon
· 10jam yang lalu
Mencuri sambil mencuri jadi dapat gratis
Lihat AsliBalas0
CoconutWaterBoy
· 10jam yang lalu
Berapa banyak uang NFT yang masih akan dicuri? Sangat menyedihkan.
Audit Keamanan Kontrak NFT: 6 Pertanyaan Umum dan Analisis Kasus Tipikal
Masalah Umum dan Analisis Kasus Klasik dalam Audit Keamanan Kontrak NFT
Dalam beberapa waktu terakhir, insiden keamanan di bidang NFT sering terjadi, menyebabkan kerugian ekonomi yang besar. Menurut data pemantauan keamanan blockchain, pada paruh pertama tahun 2022 terjadi 10 insiden keamanan NFT besar, yang mengakibatkan kerugian sekitar 64,9 juta dolar AS. Metode serangan utama dalam insiden ini termasuk eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang, mengakibatkan lebih dari 100 NFT dicuri. Kerentanan berasal dari kesalahan logika dalam kontrak TreasureMarketplaceBuyer, yang tidak membedakan dengan benar antara token ERC-1155 dan ERC-721, memungkinkan penyerang untuk membeli NFT tanpa membayar.
peristiwa airdrop APE Coin
Pada 17 Maret 2022, penyerang menggunakan pinjaman kilat untuk mendapatkan lebih dari 60 ribu APE Coin airdrop. Masalah terletak pada kontrak AirdropGrapesToken, di mana kelayakan airdrop hanya didasarkan pada status sesaat, yang dimanipulasi oleh penyerang menggunakan pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance diserang, dengan kerugian sekitar 120.000 dolar AS. Kerentanan tersebut melibatkan serangan reentrancy ERC-1155, yang berasal dari kontrak yang tidak menangani urutan perubahan status dengan benar saat mencetak FNFT baru.
NBA memanfaatkan insiden
Pada 21 April 2022, proyek NBA mengalami serangan. Masalah terletak pada mekanisme verifikasi tanda tangan kontrak The_Association_Sales, yang memiliki risiko pemalsuan dan penggunaan ulang tanda tangan.
Akutar事件
Pada 23 April 2022, kontrak AkuAuction proyek Akutar mengalami kerentanan logika due, yang mengakibatkan 11539 ETH (sekitar 34 juta dolar AS) ter鎖. Masalah utama termasuk cacat desain fungsi pengembalian dana dan tidak mempertimbangkan situasi di mana pengguna melakukan penawaran berulang kali.
Kejadian XCarnival
Pada 24 Juni 2022, protokol pinjaman NFT XCarnival diserang, dengan kerugian sekitar 3,8 juta dolar. Fungsi pledgeAndBorrow dalam kontrak XNFT memiliki celah logika, dan tidak memverifikasi validitas NFT yang dijaminkan dengan benar.
Pertanyaan Umum tentang Audit Kontrak NFT
Penyalahgunaan dan penggunaan kembali tanda tangan:
Celah logika:
Serangan reentrancy ERC721/ERC1155:
Ruang lingkup otorisasi terlalu besar:
Manipulasi harga:
Masalah ini sering dimanfaatkan oleh peretas dalam serangan nyata. Oleh karena itu, melakukan audit keamanan profesional pada proyek NFT sangat penting, dapat secara efektif mencegah potensi risiko keamanan dan melindungi keamanan aset pengguna.