Keamanan Kontrak NFT: Tinjauan Peristiwa Paruh Pertama 2022 dan Poin Audit
Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT terjadi secara frekuent, menyebabkan kerugian besar. Menurut pemantauan platform data, dalam enam bulan ini terjadi 10 insiden keamanan NFT yang signifikan, dengan total kerugian sekitar 64,9 juta dolar AS. Metode serangan terutama termasuk eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Di antara mereka, server Discord sering menjadi sasaran serangan, dan pengguna mengalami kerugian besar akibat mengklik tautan phishing.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret, platform perdagangan TreasureDAO diserang oleh peretas, lebih dari 100 NFT dicuri. Penyebabnya adalah adanya celah logika dalam kontrak, penggunaan campuran token ERC-1155 dan ERC-721 menyebabkan kesalahan penilaian, yang memungkinkan penyerang membeli NFT tanpa biaya. Ini menyoroti risiko penggunaan campuran standar token yang berbeda.
APE Coin airdrop event
Pada 17 Maret, peretas memanfaatkan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin airdrop. Kerentanan terletak pada kontrak airdrop yang hanya memeriksa status kepemilikan NFT pemanggil secara instan, tanpa mempertimbangkan bahwa pinjaman kilat dapat memanipulasi status tersebut. Ini mengingatkan kita untuk merancang mekanisme airdrop dengan hati-hati.
Peristiwa Revest Finance
Pada 27 Maret, Revest Finance diserang dan mengalami kerugian sebesar 120.000 dolar AS. Penyebabnya adalah adanya celah reentrancy dalam kontrak ERC-1155, yang memungkinkan penyerang untuk mengeksekusi operasi minting secara berulang. Ini sekali lagi membuktikan risiko keamanan dari standar ERC-1155.
acara proyek NBA
Pada 21 April, proyek NBA mengalami serangan. Kontrak memiliki masalah pemalsuan dan penggunaan ulang tanda tangan saat verifikasi daftar putih, tidak ada pencatatan dan pemeriksaan terhadap tanda tangan yang telah digunakan. Ini mengungkapkan kelemahan mekanisme verifikasi tanda tangan.
Akutar事件
Pada 23 April, proyek Akutar mengalami kunci 11.5 ribu ETH( sekitar 34 juta dolar AS) akibat kerentanan kontrak. Penyebab utama adalah kesalahan logika pada fungsi pengembalian dana, yang tidak mempertimbangkan situasi pengguna yang melakukan penawaran berkali-kali. Ini menyoroti pentingnya pengujian menyeluruh.
peristiwa XCarnival
Pada 24 Juni, XCarnival diserang dan kehilangan 3087 ETH( sekitar 3,8 juta dolar AS). Kerentanannya terletak pada kesalahan logika staking dan pinjaman, serta tidak memverifikasi alamat xToken dan status catatan jaminan. Ini menunjukkan bahwa platform pinjaman NFT menghadapi tantangan keamanan yang unik.
Pertanyaan Umum tentang Audit Kontrak NFT
Pemalsuan dan penggunaan ulang tanda tangan: kurangnya verifikasi nonce, pemeriksaan tanda tangan yang tidak ketat, dll.
Celah logika: kegagalan kontrol total jumlah koin, celah lelang, dll.
Serangan Reentrancy ERC721/ERC1155: Fitur notifikasi transfer dapat menyebabkan reentrancy.
Ruang lingkup otorisasi terlalu besar: Otorisasi global yang tidak perlu meningkatkan risiko.
Manipulasi harga: Bergantung pada status kontrak eksternal yang rentan terhadap serangan pinjaman kilat.
Masalah-masalah ini sering terjadi dalam serangan nyata, menyoroti perlunya audit keamanan profesional. Pihak proyek NFT harus memperhatikan keamanan kontrak, melakukan evaluasi menyeluruh terhadap risiko potensial, untuk mencegah masalah di kemudian hari.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
11 Suka
Hadiah
11
4
Bagikan
Komentar
0/400
GasFeeSobber
· 08-02 14:52
Uang ini tidak tahu siapa yang mendapatkannya, sudah pergi.
Lihat AsliBalas0
Whale_Whisperer
· 08-02 14:49
Setengah dari dana telah melayang.
Lihat AsliBalas0
MetaMisfit
· 08-02 14:48
suckers sudah terperosok, terus saja play people for suckers
Lihat AsliBalas0
SilentAlpha
· 08-02 14:41
Industri masih harus menghadapi satu gelombang ledakan lagi.
Tinjauan Sepuluh Kejadian Keamanan NFT Terbesar di Paruh Pertama 2022, Kerugian Hampir 65 Juta Dolar AS
Keamanan Kontrak NFT: Tinjauan Peristiwa Paruh Pertama 2022 dan Poin Audit
Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT terjadi secara frekuent, menyebabkan kerugian besar. Menurut pemantauan platform data, dalam enam bulan ini terjadi 10 insiden keamanan NFT yang signifikan, dengan total kerugian sekitar 64,9 juta dolar AS. Metode serangan terutama termasuk eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Di antara mereka, server Discord sering menjadi sasaran serangan, dan pengguna mengalami kerugian besar akibat mengklik tautan phishing.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret, platform perdagangan TreasureDAO diserang oleh peretas, lebih dari 100 NFT dicuri. Penyebabnya adalah adanya celah logika dalam kontrak, penggunaan campuran token ERC-1155 dan ERC-721 menyebabkan kesalahan penilaian, yang memungkinkan penyerang membeli NFT tanpa biaya. Ini menyoroti risiko penggunaan campuran standar token yang berbeda.
APE Coin airdrop event
Pada 17 Maret, peretas memanfaatkan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin airdrop. Kerentanan terletak pada kontrak airdrop yang hanya memeriksa status kepemilikan NFT pemanggil secara instan, tanpa mempertimbangkan bahwa pinjaman kilat dapat memanipulasi status tersebut. Ini mengingatkan kita untuk merancang mekanisme airdrop dengan hati-hati.
Peristiwa Revest Finance
Pada 27 Maret, Revest Finance diserang dan mengalami kerugian sebesar 120.000 dolar AS. Penyebabnya adalah adanya celah reentrancy dalam kontrak ERC-1155, yang memungkinkan penyerang untuk mengeksekusi operasi minting secara berulang. Ini sekali lagi membuktikan risiko keamanan dari standar ERC-1155.
acara proyek NBA
Pada 21 April, proyek NBA mengalami serangan. Kontrak memiliki masalah pemalsuan dan penggunaan ulang tanda tangan saat verifikasi daftar putih, tidak ada pencatatan dan pemeriksaan terhadap tanda tangan yang telah digunakan. Ini mengungkapkan kelemahan mekanisme verifikasi tanda tangan.
Akutar事件
Pada 23 April, proyek Akutar mengalami kunci 11.5 ribu ETH( sekitar 34 juta dolar AS) akibat kerentanan kontrak. Penyebab utama adalah kesalahan logika pada fungsi pengembalian dana, yang tidak mempertimbangkan situasi pengguna yang melakukan penawaran berkali-kali. Ini menyoroti pentingnya pengujian menyeluruh.
peristiwa XCarnival
Pada 24 Juni, XCarnival diserang dan kehilangan 3087 ETH( sekitar 3,8 juta dolar AS). Kerentanannya terletak pada kesalahan logika staking dan pinjaman, serta tidak memverifikasi alamat xToken dan status catatan jaminan. Ini menunjukkan bahwa platform pinjaman NFT menghadapi tantangan keamanan yang unik.
Pertanyaan Umum tentang Audit Kontrak NFT
Pemalsuan dan penggunaan ulang tanda tangan: kurangnya verifikasi nonce, pemeriksaan tanda tangan yang tidak ketat, dll.
Celah logika: kegagalan kontrol total jumlah koin, celah lelang, dll.
Serangan Reentrancy ERC721/ERC1155: Fitur notifikasi transfer dapat menyebabkan reentrancy.
Ruang lingkup otorisasi terlalu besar: Otorisasi global yang tidak perlu meningkatkan risiko.
Manipulasi harga: Bergantung pada status kontrak eksternal yang rentan terhadap serangan pinjaman kilat.
Masalah-masalah ini sering terjadi dalam serangan nyata, menyoroti perlunya audit keamanan profesional. Pihak proyek NFT harus memperhatikan keamanan kontrak, melakukan evaluasi menyeluruh terhadap risiko potensial, untuk mencegah masalah di kemudian hari.