Phân tích an toàn hợp đồng NFT: Các sự kiện chính trong nửa đầu năm và các vấn đề thường gặp
Trong nửa đầu năm 2022, lĩnh vực NFT đã xảy ra nhiều sự cố an toàn, gây ra thiệt hại lớn. Theo thống kê, trong thời gian này đã xảy ra 10 sự cố an toàn NFT chính, tổng thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, sự kiện lừa đảo trên nền tảng Discord diễn ra thường xuyên, gần như mỗi ngày có máy chủ bị tấn công, dẫn đến người dùng cá nhân thường xuyên bị thiệt hại.
Phân tích sự cố an ninh điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị tấn công, hơn 100 NFT đã bị đánh cắp. Nguyên nhân là do hợp đồng có lỗ hổng logic, việc sử dụng lẫn lộn các token ERC-1155 và ERC-721 dẫn đến sự rối loạn logic. Hợp đồng không kiểm tra loại token, cho phép mua token khi số tiền thanh toán bằng token ERC-20 là 0.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3, hacker đã sử dụng vay chớp nhoáng để thu được hơn 60.000 APE Coin airdrop. Lỗ hổng nằm ở chỗ hợp đồng airdrop chỉ dựa vào trạng thái ngay lập tức để xác định quyền sở hữu NFT, và trạng thái này có thể bị thao túng bởi vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3, Revest Finance đã bị tấn công, thiệt hại 120.000 USD. Nguyên nhân là do lỗ hổng tái nhập ERC-1155, hợp đồng không kiểm tra xem FNFT mới đã tồn tại hay chưa trong quá trình đúc, và biến trạng thái tự tăng sau hàm đúc, dẫn đến tấn công tái nhập.
Sự kiện NBA chơi chùa
Vào ngày 21 tháng 4, dự án NBA đã bị tấn công. Vấn đề nằm ở phương thức kiểm tra chữ ký của xác thực danh sách trắng, có hai rủi ro an ninh là giả mạo và tái sử dụng chữ ký.
Sự kiện Akutar
Vào ngày 23 tháng 4, lỗ hổng hợp đồng của dự án Akutar đã dẫn đến việc 34 triệu đô la tài sản bị khóa. Nguyên nhân chính là do lỗi logic của hàm hoàn tiền, không xem xét trường hợp người dùng có thể đấu thầu nhiều NFT.
Sự kiện XCarnival
Vào ngày 24 tháng 6, XCarnival đã bị tấn công, thiệt hại khoảng 3,8 triệu USD. Lỗ hổng nằm ở chỗ hợp đồng không kiểm tra tính hợp lệ của địa chỉ xToken của NFT đã đặt cọc, và không kiểm tra trạng thái của các ghi chép thế chấp.
Câu hỏi thường gặp về hợp đồng NFT
Lợi dụng và tái sử dụng chữ ký: Thiếu xác minh thực hiện lại, kiểm tra chữ ký không hợp lý.
Lỗ hổng logic: Quản trị viên có thể vượt qua giới hạn tổng lượng đúc tiền, trong cuộc đấu giá có nguy cơ tấn công phụ thuộc vào thứ tự giao dịch.
Tấn công tái nhập ERC721/ERC1155: Việc sử dụng tính năng thông báo chuyển khoản có thể dẫn đến tái nhập.
Phạm vi ủy quyền quá lớn: yêu cầu ủy quyền toàn cầu thay vì ủy quyền cho từng token, làm tăng rủi ro bị đánh cắp NFT.
Kiểm soát giá: Giá NFT phụ thuộc vào số lượng token hợp đồng bên ngoài, dễ bị ảnh hưởng bởi vay nhanh.
Vì những vấn đề phổ biến này, việc thực hiện kiểm toán an ninh chuyên nghiệp cho hợp đồng NFT là đặc biệt quan trọng. Các bên dự án nên chú trọng đến an toàn hợp đồng để ngăn chặn những tổn thất tiềm tàng lớn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
4
Đăng lại
Chia sẻ
Bình luận
0/400
BearMarketSurvivor
· 17giờ trước
Lỗi hợp đồng năm nào cũng có, đồ ngốc ngày nào cũng bị chơi đùa với mọi người
Xem bản gốcTrả lời0
HashBandit
· 08-09 15:37
bruh, cùng một mớ hợp đồng cũ... làm tôi nhớ đến trạm đào gpu của tôi bị cháy vào năm 2017 smh
Xem bản gốcTrả lời0
WalletDivorcer
· 08-09 15:24
Nhà ai lại mất ví tiền nữa rồi.
Xem bản gốcTrả lời0
ZeroRushCaptain
· 08-09 15:22
Máy rút tiền thua lỗ nhanh chóng giảm về 0, lại bị hồ cá chơi đùa với mọi người rồi.
Cảnh báo an toàn hợp đồng NFT: Tổng quan sự kiện nửa đầu năm 2022 và phân tích rủi ro
Phân tích an toàn hợp đồng NFT: Các sự kiện chính trong nửa đầu năm và các vấn đề thường gặp
Trong nửa đầu năm 2022, lĩnh vực NFT đã xảy ra nhiều sự cố an toàn, gây ra thiệt hại lớn. Theo thống kê, trong thời gian này đã xảy ra 10 sự cố an toàn NFT chính, tổng thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, sự kiện lừa đảo trên nền tảng Discord diễn ra thường xuyên, gần như mỗi ngày có máy chủ bị tấn công, dẫn đến người dùng cá nhân thường xuyên bị thiệt hại.
Phân tích sự cố an ninh điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị tấn công, hơn 100 NFT đã bị đánh cắp. Nguyên nhân là do hợp đồng có lỗ hổng logic, việc sử dụng lẫn lộn các token ERC-1155 và ERC-721 dẫn đến sự rối loạn logic. Hợp đồng không kiểm tra loại token, cho phép mua token khi số tiền thanh toán bằng token ERC-20 là 0.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3, hacker đã sử dụng vay chớp nhoáng để thu được hơn 60.000 APE Coin airdrop. Lỗ hổng nằm ở chỗ hợp đồng airdrop chỉ dựa vào trạng thái ngay lập tức để xác định quyền sở hữu NFT, và trạng thái này có thể bị thao túng bởi vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3, Revest Finance đã bị tấn công, thiệt hại 120.000 USD. Nguyên nhân là do lỗ hổng tái nhập ERC-1155, hợp đồng không kiểm tra xem FNFT mới đã tồn tại hay chưa trong quá trình đúc, và biến trạng thái tự tăng sau hàm đúc, dẫn đến tấn công tái nhập.
Sự kiện NBA chơi chùa
Vào ngày 21 tháng 4, dự án NBA đã bị tấn công. Vấn đề nằm ở phương thức kiểm tra chữ ký của xác thực danh sách trắng, có hai rủi ro an ninh là giả mạo và tái sử dụng chữ ký.
Sự kiện Akutar
Vào ngày 23 tháng 4, lỗ hổng hợp đồng của dự án Akutar đã dẫn đến việc 34 triệu đô la tài sản bị khóa. Nguyên nhân chính là do lỗi logic của hàm hoàn tiền, không xem xét trường hợp người dùng có thể đấu thầu nhiều NFT.
Sự kiện XCarnival
Vào ngày 24 tháng 6, XCarnival đã bị tấn công, thiệt hại khoảng 3,8 triệu USD. Lỗ hổng nằm ở chỗ hợp đồng không kiểm tra tính hợp lệ của địa chỉ xToken của NFT đã đặt cọc, và không kiểm tra trạng thái của các ghi chép thế chấp.
Câu hỏi thường gặp về hợp đồng NFT
Lợi dụng và tái sử dụng chữ ký: Thiếu xác minh thực hiện lại, kiểm tra chữ ký không hợp lý.
Lỗ hổng logic: Quản trị viên có thể vượt qua giới hạn tổng lượng đúc tiền, trong cuộc đấu giá có nguy cơ tấn công phụ thuộc vào thứ tự giao dịch.
Tấn công tái nhập ERC721/ERC1155: Việc sử dụng tính năng thông báo chuyển khoản có thể dẫn đến tái nhập.
Phạm vi ủy quyền quá lớn: yêu cầu ủy quyền toàn cầu thay vì ủy quyền cho từng token, làm tăng rủi ro bị đánh cắp NFT.
Kiểm soát giá: Giá NFT phụ thuộc vào số lượng token hợp đồng bên ngoài, dễ bị ảnh hưởng bởi vay nhanh.
Vì những vấn đề phổ biến này, việc thực hiện kiểm toán an ninh chuyên nghiệp cho hợp đồng NFT là đặc biệt quan trọng. Các bên dự án nên chú trọng đến an toàn hợp đồng để ngăn chặn những tổn thất tiềm tàng lớn.