An toàn hợp đồng NFT: Tổng quan sự kiện nửa đầu năm 2022 và điểm kiểm toán
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra tổn thất lớn. Theo dữ liệu từ các nền tảng giám sát, trong nửa năm qua đã xảy ra tổng cộng 10 sự kiện an ninh NFT nghiêm trọng, với tổng tổn thất khoảng 64,9 triệu đô la Mỹ. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Trong số đó, máy chủ Discord thường xuyên bị tấn công, người dùng đã chịu tổn thất nặng nề do nhấp vào các liên kết lừa đảo.
Phân tích sự kiện an toàn điển hình
Sự kiện TreasureDAO
Ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, hơn 100 NFT đã bị đánh cắp. Nguyên nhân là do hợp đồng có lỗ hổng logic, việc sử dụng đồng ERC-1155 và ERC-721 lẫn lộn dẫn đến sai sót trong định giá, khiến kẻ tấn công có thể mua NFT với chi phí bằng 0. Điều này làm nổi bật rủi ro khi sử dụng lẫn lộn các tiêu chuẩn token khác nhau.
sự kiện airdrop APE Coin
Ngày 17 tháng 3, hacker đã sử dụng vay chớp nhoáng để nhận được hơn 60.000 APE Coin airdrop. Lỗ hổng nằm ở chỗ hợp đồng airdrop chỉ kiểm tra trạng thái nắm giữ NFT ngay lập tức của người gọi, không xem xét rằng vay chớp nhoáng có thể thao túng trạng thái đó. Điều này nhắc nhở chúng ta cần thiết kế cơ chế airdrop một cách cẩn thận.
Sự kiện Revest Finance
Vào ngày 27 tháng 3, Revest Finance đã bị tấn công và thiệt hại 120.000 USD. Nguyên nhân là do lỗ hổng reentrancy trong hợp đồng ERC-1155, kẻ tấn công có thể thực hiện thao tác đúc nhiều lần. Điều này lại một lần nữa chứng minh rủi ro an ninh của chuẩn ERC-1155.
sự kiện dự án NBA
Vào ngày 21 tháng 4, dự án NBA đã bị tấn công. Hợp đồng gặp vấn đề về việc mạo danh và tái sử dụng chữ ký trong quá trình xác minh danh sách trắng, không có ghi chép và kiểm tra chữ ký đã được sử dụng. Điều này đã phơi bày sự yếu kém của cơ chế xác minh chữ ký.
Sự kiện Akutar
Ngày 23 tháng 4, dự án Akutar đã bị khóa 11,5 nghìn ETH( khoảng 34 triệu đô la Mỹ) do lỗ hổng hợp đồng. Nguyên nhân chính là lỗi logic trong hàm hoàn tiền, không tính đến trường hợp người dùng đấu thầu nhiều lần. Điều này nhấn mạnh tầm quan trọng của việc kiểm tra toàn diện.
Sự kiện XCarnival
Ngày 24 tháng 6, XCarnival đã bị tấn công và mất 3087 ETH( khoảng 3,8 triệu đô la Mỹ). Lỗi nằm ở logic staking và cho vay có vấn đề, không xác thực địa chỉ xToken và trạng thái ghi chép thế chấp. Điều này cho thấy nền tảng cho vay NFT đang đối mặt với những thách thức an ninh độc đáo.
Các câu hỏi thường gặp về kiểm toán hợp đồng NFT
Lạm dụng và tái sử dụng chữ ký: Thiếu xác thực nonce, kiểm tra chữ ký không nghiêm ngặt, v.v.
Lỗ hổng logic: Kiểm soát tổng lượng tiền phát hành không hiệu quả, lỗ hổng đấu giá, v.v.
Tấn công tái nhập ERC721/ERC1155: Chức năng thông báo chuyển khoản có thể dẫn đến tái nhập.
Phạm vi ủy quyền quá lớn: Ủy quyền toàn cầu không cần thiết làm tăng rủi ro.
Kiểm soát giá: Dựa vào trạng thái hợp đồng bên ngoài dễ bị tấn công bằng vay chớp nhoáng.
Những vấn đề này thường xuyên xuất hiện trong các cuộc tấn công thực tế, làm nổi bật sự cần thiết của việc kiểm toán an ninh chuyên nghiệp. Các dự án NFT nên chú trọng đến an toàn hợp đồng, đánh giá toàn diện các rủi ro tiềm ẩn, để phòng ngừa trước.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
11 thích
Phần thưởng
11
4
Chia sẻ
Bình luận
0/400
GasFeeSobber
· 08-02 14:52
Không biết ai đã kiếm được số tiền này, đã đi mất.
Tổng hợp 10 sự kiện an ninh NFT hàng đầu nửa đầu năm 2022, thiệt hại gần 65 triệu USD
An toàn hợp đồng NFT: Tổng quan sự kiện nửa đầu năm 2022 và điểm kiểm toán
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra tổn thất lớn. Theo dữ liệu từ các nền tảng giám sát, trong nửa năm qua đã xảy ra tổng cộng 10 sự kiện an ninh NFT nghiêm trọng, với tổng tổn thất khoảng 64,9 triệu đô la Mỹ. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Trong số đó, máy chủ Discord thường xuyên bị tấn công, người dùng đã chịu tổn thất nặng nề do nhấp vào các liên kết lừa đảo.
Phân tích sự kiện an toàn điển hình
Sự kiện TreasureDAO
Ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, hơn 100 NFT đã bị đánh cắp. Nguyên nhân là do hợp đồng có lỗ hổng logic, việc sử dụng đồng ERC-1155 và ERC-721 lẫn lộn dẫn đến sai sót trong định giá, khiến kẻ tấn công có thể mua NFT với chi phí bằng 0. Điều này làm nổi bật rủi ro khi sử dụng lẫn lộn các tiêu chuẩn token khác nhau.
sự kiện airdrop APE Coin
Ngày 17 tháng 3, hacker đã sử dụng vay chớp nhoáng để nhận được hơn 60.000 APE Coin airdrop. Lỗ hổng nằm ở chỗ hợp đồng airdrop chỉ kiểm tra trạng thái nắm giữ NFT ngay lập tức của người gọi, không xem xét rằng vay chớp nhoáng có thể thao túng trạng thái đó. Điều này nhắc nhở chúng ta cần thiết kế cơ chế airdrop một cách cẩn thận.
Sự kiện Revest Finance
Vào ngày 27 tháng 3, Revest Finance đã bị tấn công và thiệt hại 120.000 USD. Nguyên nhân là do lỗ hổng reentrancy trong hợp đồng ERC-1155, kẻ tấn công có thể thực hiện thao tác đúc nhiều lần. Điều này lại một lần nữa chứng minh rủi ro an ninh của chuẩn ERC-1155.
sự kiện dự án NBA
Vào ngày 21 tháng 4, dự án NBA đã bị tấn công. Hợp đồng gặp vấn đề về việc mạo danh và tái sử dụng chữ ký trong quá trình xác minh danh sách trắng, không có ghi chép và kiểm tra chữ ký đã được sử dụng. Điều này đã phơi bày sự yếu kém của cơ chế xác minh chữ ký.
Sự kiện Akutar
Ngày 23 tháng 4, dự án Akutar đã bị khóa 11,5 nghìn ETH( khoảng 34 triệu đô la Mỹ) do lỗ hổng hợp đồng. Nguyên nhân chính là lỗi logic trong hàm hoàn tiền, không tính đến trường hợp người dùng đấu thầu nhiều lần. Điều này nhấn mạnh tầm quan trọng của việc kiểm tra toàn diện.
Sự kiện XCarnival
Ngày 24 tháng 6, XCarnival đã bị tấn công và mất 3087 ETH( khoảng 3,8 triệu đô la Mỹ). Lỗi nằm ở logic staking và cho vay có vấn đề, không xác thực địa chỉ xToken và trạng thái ghi chép thế chấp. Điều này cho thấy nền tảng cho vay NFT đang đối mặt với những thách thức an ninh độc đáo.
Các câu hỏi thường gặp về kiểm toán hợp đồng NFT
Lạm dụng và tái sử dụng chữ ký: Thiếu xác thực nonce, kiểm tra chữ ký không nghiêm ngặt, v.v.
Lỗ hổng logic: Kiểm soát tổng lượng tiền phát hành không hiệu quả, lỗ hổng đấu giá, v.v.
Tấn công tái nhập ERC721/ERC1155: Chức năng thông báo chuyển khoản có thể dẫn đến tái nhập.
Phạm vi ủy quyền quá lớn: Ủy quyền toàn cầu không cần thiết làm tăng rủi ro.
Kiểm soát giá: Dựa vào trạng thái hợp đồng bên ngoài dễ bị tấn công bằng vay chớp nhoáng.
Những vấn đề này thường xuyên xuất hiện trong các cuộc tấn công thực tế, làm nổi bật sự cần thiết của việc kiểm toán an ninh chuyên nghiệp. Các dự án NFT nên chú trọng đến an toàn hợp đồng, đánh giá toàn diện các rủi ro tiềm ẩn, để phòng ngừa trước.