Phân tích các câu hỏi thường gặp về kiểm toán hợp đồng NFT và các sự kiện an toàn điển hình
Trong nửa đầu năm 2022, các sự cố an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra thiệt hại kinh tế lớn. Theo dữ liệu từ nền tảng giám sát, trong thời gian này đã xảy ra 10 sự cố an ninh NFT nghiêm trọng, với tổng thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, các máy chủ Discord thường xuyên bị tấn công, và việc người dùng bị mất tiền do nhấp vào liên kết lừa đảo là điều không hiếm thấy.
Phân tích các sự kiện an ninh NFT điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, dẫn đến việc hơn 100 NFT bị đánh cắp. Lỗi tồn tại trong hàm buyItem của hợp đồng TreasureMarketplaceBuyer, do thiếu kiểm tra loại token, cho phép kẻ tấn công mua token khi số tiền thanh toán bằng token ERC-20 là 0. Sự kiện này làm nổi bật vấn đề lộn xộn về logic do việc sử dụng trộn lẫn token ERC-1155 và ERC-721.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, tin tặc đã sử dụng vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Lỗ hổng xuất phát từ hợp đồng airdrop của AirdropGrapesToken sử dụng alpha.balanceOf() và beta.balanceOf() để xác định quyền sở hữu NFT BAYC/MAYC của người dùng, trong khi phương pháp này chỉ có thể lấy trạng thái tức thời, dễ bị thao túng bởi vay chớp nhoáng.
Sự kiện Revest Finance
Ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công, thiệt hại 120.000 USD. Lỗ hổng xuất hiện trong hàm depositAdditionalToFNFT() của hợp đồng Revest, do vấn đề tái nhập ERC-1155, kẻ tấn công có thể thực hiện nhiều lần thao tác đúc.
Sự kiện NBA hái lông cừu
Vào ngày 21 tháng 4 năm 2022, dự án NBA đã bị tấn công bởi hacker. Hợp đồng The_Association_Sales gặp phải vấn đề giả mạo và tái sử dụng chữ ký trong quá trình xác minh danh sách trắng, chủ yếu là do không lưu trữ chữ ký đã sử dụng và thiếu kiểm tra msg.sender.
Sự kiện Akutar
Vào ngày 23 tháng 4 năm 2022, lỗ hổng hợp đồng AkuAuction của dự án Akutar đã dẫn đến việc 11539ETH (khoảng 34 triệu USD) bị khóa. Vấn đề chính bao gồm lỗi logic của hàm hoàn tiền và không xem xét trường hợp người dùng đấu thầu nhiều lần.
sự kiện XCarnival
Vào ngày 24 tháng 6 năm 2022, giao thức cho vay NFT XCarnival đã bị tấn công, gây thiệt hại khoảng 3,8 triệu USD. Hàm pledgeAndBorrow của hợp đồng XNFT có lỗ hổng logic, không kiểm tra hiệu quả địa chỉ xToken và trạng thái ghi chú thế chấp.
Câu hỏi thường gặp về kiểm toán hợp đồng NFT
Giả mạo và sử dụng lại chữ ký:
Thiếu kiểm tra thực thi lặp lại, cho phép sử dụng lại dữ liệu chữ ký để đúc NFT
Kiểm tra chữ ký không nghiêm ngặt, có thể dẫn đến việc bất kỳ người dùng nào cũng có thể thông qua kiểm tra để đúc tiền.
Lỗ hổng logic:
Quản trị viên hợp đồng có thể bỏ qua giới hạn tổng số để đúc tiền.
Trong quá trình đấu giá có rủi ro tấn công phụ thuộc vào thứ tự giao dịch.
Tấn công tái nhập ERC721/ERC1155:
Sử dụng chức năng thông báo chuyển khoản có thể dẫn đến tấn công tái nhập
Phạm vi ủy quyền quá lớn:
Yêu cầu ủy quyền quá mức có thể dẫn đến rủi ro bị đánh cắp NFT
Kiểm soát giá:
Giá NFT phụ thuộc vào khối lượng nắm giữ token của hợp đồng bên ngoài, có thể bị ảnh hưởng bởi tấn công vay chớp nhoáng.
Các vấn đề này thường xuất hiện trong các sự kiện an ninh thực tế, làm nổi bật tầm quan trọng của việc tiến hành kiểm toán an ninh chuyên nghiệp đối với hợp đồng NFT. Các bên dự án nên coi trọng an ninh hợp đồng, kịp thời phát hiện và sửa chữa các lỗ hổng tiềm ẩn để ngăn chặn các sự kiện tương tự xảy ra lần nữa.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Sự cố an toàn hợp đồng NFT xảy ra thường xuyên Phân tích sáu trường hợp điển hình và trọng tâm kiểm toán
Phân tích các câu hỏi thường gặp về kiểm toán hợp đồng NFT và các sự kiện an toàn điển hình
Trong nửa đầu năm 2022, các sự cố an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra thiệt hại kinh tế lớn. Theo dữ liệu từ nền tảng giám sát, trong thời gian này đã xảy ra 10 sự cố an ninh NFT nghiêm trọng, với tổng thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, các máy chủ Discord thường xuyên bị tấn công, và việc người dùng bị mất tiền do nhấp vào liên kết lừa đảo là điều không hiếm thấy.
Phân tích các sự kiện an ninh NFT điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, dẫn đến việc hơn 100 NFT bị đánh cắp. Lỗi tồn tại trong hàm buyItem của hợp đồng TreasureMarketplaceBuyer, do thiếu kiểm tra loại token, cho phép kẻ tấn công mua token khi số tiền thanh toán bằng token ERC-20 là 0. Sự kiện này làm nổi bật vấn đề lộn xộn về logic do việc sử dụng trộn lẫn token ERC-1155 và ERC-721.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, tin tặc đã sử dụng vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Lỗ hổng xuất phát từ hợp đồng airdrop của AirdropGrapesToken sử dụng alpha.balanceOf() và beta.balanceOf() để xác định quyền sở hữu NFT BAYC/MAYC của người dùng, trong khi phương pháp này chỉ có thể lấy trạng thái tức thời, dễ bị thao túng bởi vay chớp nhoáng.
Sự kiện Revest Finance
Ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công, thiệt hại 120.000 USD. Lỗ hổng xuất hiện trong hàm depositAdditionalToFNFT() của hợp đồng Revest, do vấn đề tái nhập ERC-1155, kẻ tấn công có thể thực hiện nhiều lần thao tác đúc.
Sự kiện NBA hái lông cừu
Vào ngày 21 tháng 4 năm 2022, dự án NBA đã bị tấn công bởi hacker. Hợp đồng The_Association_Sales gặp phải vấn đề giả mạo và tái sử dụng chữ ký trong quá trình xác minh danh sách trắng, chủ yếu là do không lưu trữ chữ ký đã sử dụng và thiếu kiểm tra msg.sender.
Sự kiện Akutar
Vào ngày 23 tháng 4 năm 2022, lỗ hổng hợp đồng AkuAuction của dự án Akutar đã dẫn đến việc 11539ETH (khoảng 34 triệu USD) bị khóa. Vấn đề chính bao gồm lỗi logic của hàm hoàn tiền và không xem xét trường hợp người dùng đấu thầu nhiều lần.
sự kiện XCarnival
Vào ngày 24 tháng 6 năm 2022, giao thức cho vay NFT XCarnival đã bị tấn công, gây thiệt hại khoảng 3,8 triệu USD. Hàm pledgeAndBorrow của hợp đồng XNFT có lỗ hổng logic, không kiểm tra hiệu quả địa chỉ xToken và trạng thái ghi chú thế chấp.
Câu hỏi thường gặp về kiểm toán hợp đồng NFT
Giả mạo và sử dụng lại chữ ký:
Lỗ hổng logic:
Tấn công tái nhập ERC721/ERC1155:
Phạm vi ủy quyền quá lớn:
Kiểm soát giá:
Các vấn đề này thường xuất hiện trong các sự kiện an ninh thực tế, làm nổi bật tầm quan trọng của việc tiến hành kiểm toán an ninh chuyên nghiệp đối với hợp đồng NFT. Các bên dự án nên coi trọng an ninh hợp đồng, kịp thời phát hiện và sửa chữa các lỗ hổng tiềm ẩn để ngăn chặn các sự kiện tương tự xảy ra lần nữa.