Các vấn đề thường gặp trong kiểm toán an toàn hợp đồng NFT và phân tích các trường hợp điển hình
Gần đây, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra thiệt hại kinh tế lớn. Theo dữ liệu giám sát an ninh blockchain, trong nửa đầu năm 2022 đã xảy ra 10 sự kiện an ninh NFT nghiêm trọng, gây thiệt hại khoảng 64,9 triệu đô la Mỹ. Các phương thức tấn công chính trong những sự kiện này bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo.
Phân tích sự kiện an toàn điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công, dẫn đến việc hơn 100 NFT bị đánh cắp. Lỗ hổng xuất phát từ lỗi logic trong hợp đồng TreasureMarketplaceBuyer, không phân biệt đúng đắn giữa token ERC-1155 và ERC-721, khiến cho kẻ tấn công có thể mua NFT mà không phải thanh toán.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, kẻ tấn công đã sử dụng vay chớp nhoáng để lấy hơn 60.000 đồng APE Coin airdrop. Vấn đề nằm ở hợp đồng AirdropGrapesToken, nơi điều kiện đủ để nhận airdrop chỉ dựa trên trạng thái tạm thời, đã bị kẻ tấn công lợi dụng thông qua vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công, thiệt hại khoảng 120.000 USD. Lỗ hổng liên quan đến cuộc tấn công tái nhập ERC-1155, xuất phát từ việc hợp đồng không xử lý đúng thứ tự thay đổi trạng thái khi đúc FNFT mới.
sự kiện NBA hái lông cừu
Vào ngày 21 tháng 4 năm 2022, dự án NBA đã bị tấn công. Vấn đề nằm ở cơ chế xác minh chữ ký của hợp đồng The_Association_Sales, có nguy cơ bị giả mạo và tái sử dụng chữ ký.
Sự kiện Akutar
Vào ngày 23 tháng 4 năm 2022, hợp đồng AkuAuction của dự án Akutar đã gặp lỗ hổng logic do hạn chót, dẫn đến việc 11539 ETH (khoảng 34 triệu USD) bị khóa. Vấn đề chính bao gồm thiết kế lỗi trong chức năng hoàn tiền và không xem xét tình huống người dùng đặt thầu nhiều lần.
sự kiện XCarnival
Vào ngày 24 tháng 6 năm 2022, giao thức cho vay NFT XCarnival đã bị tấn công, thiệt hại khoảng 3,8 triệu USD. Hàm pledgeAndBorrow trong hợp đồng XNFT có lỗ hổng logic, không xác minh đúng tính hợp lệ của NFT được thế chấp.
Các câu hỏi thường gặp về kiểm toán hợp đồng NFT
Gian lận và tái sử dụng chữ ký:
Thiếu xác minh việc tái sử dụng chữ ký
Logic kiểm tra chữ ký không chặt chẽ
Lỗ hổng logic:
Kiểm soát lượng đúc tiền không đúng cách
Thứ tự giao dịch trong quá trình đấu giá phụ thuộc vào tấn công
Tấn công tái nhập ERC721/ERC1155:
Chức năng thông báo chuyển khoản có thể gây ra vấn đề tái nhập
Phạm vi ủy quyền quá lớn:
Quyền truy cập toàn cầu không cần thiết làm tăng rủi ro an ninh
Kiểm soát giá:
Giá NFT phụ thuộc vào các yếu tố bên ngoài dễ bị thao túng
Những vấn đề này thường bị hacker khai thác trong các cuộc tấn công thực tế. Do đó, việc tiến hành kiểm toán an ninh chuyên nghiệp cho các dự án NFT là rất quan trọng, có thể hiệu quả phòng ngừa các rủi ro an ninh tiềm ẩn, bảo vệ an toàn tài sản của người dùng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
11 thích
Phần thưởng
11
4
Đăng lại
Chia sẻ
Bình luận
0/400
GasWaster
· 6giờ trước
đã mất nhiều eth hơn giá trị danh mục đầu tư của tôi smh... một ngày nữa lại một hợp đồng thông minh bị hỏng
Xem bản gốcTrả lời0
zkProofInThePudding
· 12giờ trước
Lại là một lỗ hổng để nhận NFT miễn phí.
Xem bản gốcTrả lời0
AlwaysAnon
· 13giờ trước
Trộm mãi rồi cũng được miễn phí.
Xem bản gốcTrả lời0
CoconutWaterBoy
· 13giờ trước
NFT còn bao nhiêu tiền sẽ bị đánh cắp? Thật thê thảm.
Kiểm toán an toàn hợp đồng NFT: 6 vấn đề thường gặp và phân tích các trường hợp điển hình
Các vấn đề thường gặp trong kiểm toán an toàn hợp đồng NFT và phân tích các trường hợp điển hình
Gần đây, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra thiệt hại kinh tế lớn. Theo dữ liệu giám sát an ninh blockchain, trong nửa đầu năm 2022 đã xảy ra 10 sự kiện an ninh NFT nghiêm trọng, gây thiệt hại khoảng 64,9 triệu đô la Mỹ. Các phương thức tấn công chính trong những sự kiện này bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo.
Phân tích sự kiện an toàn điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công, dẫn đến việc hơn 100 NFT bị đánh cắp. Lỗ hổng xuất phát từ lỗi logic trong hợp đồng TreasureMarketplaceBuyer, không phân biệt đúng đắn giữa token ERC-1155 và ERC-721, khiến cho kẻ tấn công có thể mua NFT mà không phải thanh toán.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, kẻ tấn công đã sử dụng vay chớp nhoáng để lấy hơn 60.000 đồng APE Coin airdrop. Vấn đề nằm ở hợp đồng AirdropGrapesToken, nơi điều kiện đủ để nhận airdrop chỉ dựa trên trạng thái tạm thời, đã bị kẻ tấn công lợi dụng thông qua vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công, thiệt hại khoảng 120.000 USD. Lỗ hổng liên quan đến cuộc tấn công tái nhập ERC-1155, xuất phát từ việc hợp đồng không xử lý đúng thứ tự thay đổi trạng thái khi đúc FNFT mới.
sự kiện NBA hái lông cừu
Vào ngày 21 tháng 4 năm 2022, dự án NBA đã bị tấn công. Vấn đề nằm ở cơ chế xác minh chữ ký của hợp đồng The_Association_Sales, có nguy cơ bị giả mạo và tái sử dụng chữ ký.
Sự kiện Akutar
Vào ngày 23 tháng 4 năm 2022, hợp đồng AkuAuction của dự án Akutar đã gặp lỗ hổng logic do hạn chót, dẫn đến việc 11539 ETH (khoảng 34 triệu USD) bị khóa. Vấn đề chính bao gồm thiết kế lỗi trong chức năng hoàn tiền và không xem xét tình huống người dùng đặt thầu nhiều lần.
sự kiện XCarnival
Vào ngày 24 tháng 6 năm 2022, giao thức cho vay NFT XCarnival đã bị tấn công, thiệt hại khoảng 3,8 triệu USD. Hàm pledgeAndBorrow trong hợp đồng XNFT có lỗ hổng logic, không xác minh đúng tính hợp lệ của NFT được thế chấp.
Các câu hỏi thường gặp về kiểm toán hợp đồng NFT
Gian lận và tái sử dụng chữ ký:
Lỗ hổng logic:
Tấn công tái nhập ERC721/ERC1155:
Phạm vi ủy quyền quá lớn:
Kiểm soát giá:
Những vấn đề này thường bị hacker khai thác trong các cuộc tấn công thực tế. Do đó, việc tiến hành kiểm toán an ninh chuyên nghiệp cho các dự án NFT là rất quan trọng, có thể hiệu quả phòng ngừa các rủi ro an ninh tiềm ẩn, bảo vệ an toàn tài sản của người dùng.