Analisis Pertanyaan Umum dan Kejadian Keamanan Tipikal dalam Audit Kontrak NFT
Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT sering terjadi, menyebabkan kerugian ekonomi yang besar. Menurut pemantauan platform data, selama periode ini terjadi 10 insiden keamanan NFT besar, dengan kerugian sekitar 6490 juta dolar. Metode serangan terutama meliputi eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Yang perlu dicatat, server Discord sering kali diserang, dan pengguna sering mengalami kerugian karena mengklik tautan phishing.
Analisis Kejadian Keamanan NFT yang Khas
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang oleh hacker, mengakibatkan lebih dari 100 NFT dicuri. Kerentanan ada di dalam fungsi buyItem kontrak TreasureMarketplaceBuyer, di mana kurangnya pemeriksaan jenis token memungkinkan penyerang membeli token dengan jumlah pembayaran token ERC-20 sebesar 0. Peristiwa ini menyoroti masalah kebingungan logika yang disebabkan oleh penggunaan campuran token ERC-1155 dan ERC-721.
peristiwa airdrop APE Coin
Pada 17 Maret 2022, peretas menggunakan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin airdrop. Kerentanan berasal dari kontrak airdrop AirdropGrapesToken yang menggunakan alpha.balanceOf() dan beta.balanceOf() untuk menentukan kepemilikan NFT BAYC/MAYC pengguna, sementara metode ini hanya dapat memperoleh status sesaat, sehingga mudah dimanipulasi oleh pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance diserang, kehilangan 120.000 dolar AS. Kerentanan muncul di fungsi depositAdditionalToFNFT() dari kontrak Revest, di mana karena masalah reentrancy ERC-1155, penyerang dapat melakukan operasi minting beberapa kali.
NBA kejadian memanfaatkan peluang
Pada 21 April 2022, proyek NBA mengalami serangan hacker. Kontrak The_Association_Sales memiliki masalah pemalsuan dan penggunaan ulang tanda tangan saat memverifikasi daftar putih, yang terutama disebabkan oleh tidak menyimpan tanda tangan yang telah digunakan dan kurangnya verifikasi msg.sender.
Akutar事件
Pada 23 April 2022, celah kontrak AkuAuction dari proyek Akutar menyebabkan 11539ETH (sekitar 34 juta USD) terkunci. Masalah utama termasuk kekurangan logika pada fungsi pengembalian dana dan tidak mempertimbangkan situasi di mana pengguna melakukan penawaran beberapa kali.
peristiwa XCarnival
Pada 24 Juni 2022, protokol pinjaman NFT XCarnival diserang, dengan kerugian sekitar 3,8 juta dolar AS. Fungsi pledgeAndBorrow pada kontrak XNFT memiliki celah logika, yang tidak melakukan pemeriksaan yang efektif terhadap alamat xToken dan status catatan jaminan.
Pertanyaan Umum tentang Audit Kontrak NFT
Penandatanganan yang disalahgunakan dan digunakan kembali:
Kurang verifikasi eksekusi ulang, memungkinkan penggunaan data tanda tangan yang sama untuk mencetak NFT
Pemeriksaan tanda tangan tidak ketat, mungkin memungkinkan pengguna mana pun untuk mencetak koin melalui pemeriksaan
Celah logika:
Pengelola kontrak mungkin dapat mengabaikan batasan total untuk mencetak koin
Ada risiko serangan bergantung pada urutan transaksi selama proses lelang
Serangan Reentrancy ERC721/ERC1155:
Menggunakan fungsi pemberitahuan transfer dapat menyebabkan serangan reentrancy
Ruang lingkup otorisasi terlalu besar:
Permintaan otorisasi yang berlebihan dapat menyebabkan risiko pencurian NFT
Manipulasi harga:
Harga NFT tergantung pada jumlah kepemilikan token kontrak eksternal, mungkin terpengaruh oleh serangan pinjaman kilat.
Masalah ini sering muncul dalam kejadian keamanan yang sebenarnya, menyoroti pentingnya melakukan audit keamanan profesional terhadap kontrak NFT. Pihak proyek harus memperhatikan keamanan kontrak, dengan cepat mengidentifikasi dan memperbaiki potensi kerentanan untuk mencegah kejadian serupa terjadi lagi.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Kejadian keamanan kontrak NFT sering terjadi, analisis enam kasus tipikal dan fokus audit.
Analisis Pertanyaan Umum dan Kejadian Keamanan Tipikal dalam Audit Kontrak NFT
Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT sering terjadi, menyebabkan kerugian ekonomi yang besar. Menurut pemantauan platform data, selama periode ini terjadi 10 insiden keamanan NFT besar, dengan kerugian sekitar 6490 juta dolar. Metode serangan terutama meliputi eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Yang perlu dicatat, server Discord sering kali diserang, dan pengguna sering mengalami kerugian karena mengklik tautan phishing.
Analisis Kejadian Keamanan NFT yang Khas
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang oleh hacker, mengakibatkan lebih dari 100 NFT dicuri. Kerentanan ada di dalam fungsi buyItem kontrak TreasureMarketplaceBuyer, di mana kurangnya pemeriksaan jenis token memungkinkan penyerang membeli token dengan jumlah pembayaran token ERC-20 sebesar 0. Peristiwa ini menyoroti masalah kebingungan logika yang disebabkan oleh penggunaan campuran token ERC-1155 dan ERC-721.
peristiwa airdrop APE Coin
Pada 17 Maret 2022, peretas menggunakan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin airdrop. Kerentanan berasal dari kontrak airdrop AirdropGrapesToken yang menggunakan alpha.balanceOf() dan beta.balanceOf() untuk menentukan kepemilikan NFT BAYC/MAYC pengguna, sementara metode ini hanya dapat memperoleh status sesaat, sehingga mudah dimanipulasi oleh pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance diserang, kehilangan 120.000 dolar AS. Kerentanan muncul di fungsi depositAdditionalToFNFT() dari kontrak Revest, di mana karena masalah reentrancy ERC-1155, penyerang dapat melakukan operasi minting beberapa kali.
NBA kejadian memanfaatkan peluang
Pada 21 April 2022, proyek NBA mengalami serangan hacker. Kontrak The_Association_Sales memiliki masalah pemalsuan dan penggunaan ulang tanda tangan saat memverifikasi daftar putih, yang terutama disebabkan oleh tidak menyimpan tanda tangan yang telah digunakan dan kurangnya verifikasi msg.sender.
Akutar事件
Pada 23 April 2022, celah kontrak AkuAuction dari proyek Akutar menyebabkan 11539ETH (sekitar 34 juta USD) terkunci. Masalah utama termasuk kekurangan logika pada fungsi pengembalian dana dan tidak mempertimbangkan situasi di mana pengguna melakukan penawaran beberapa kali.
peristiwa XCarnival
Pada 24 Juni 2022, protokol pinjaman NFT XCarnival diserang, dengan kerugian sekitar 3,8 juta dolar AS. Fungsi pledgeAndBorrow pada kontrak XNFT memiliki celah logika, yang tidak melakukan pemeriksaan yang efektif terhadap alamat xToken dan status catatan jaminan.
Pertanyaan Umum tentang Audit Kontrak NFT
Penandatanganan yang disalahgunakan dan digunakan kembali:
Celah logika:
Serangan Reentrancy ERC721/ERC1155:
Ruang lingkup otorisasi terlalu besar:
Manipulasi harga:
Masalah ini sering muncul dalam kejadian keamanan yang sebenarnya, menyoroti pentingnya melakukan audit keamanan profesional terhadap kontrak NFT. Pihak proyek harus memperhatikan keamanan kontrak, dengan cepat mengidentifikasi dan memperbaiki potensi kerentanan untuk mencegah kejadian serupa terjadi lagi.