Keamanan Kontrak NFT: Tinjauan Peristiwa Paruh Pertama 2022 dan Analisis Masalah Umum Audit
Pada paruh pertama tahun 2022, kejadian keamanan di bidang NFT sering terjadi, menyebabkan kerugian ekonomi yang besar. Menurut pemantauan platform data, terjadi 10 kejadian keamanan utama, dengan kerugian sekitar 64,9 juta dolar AS. Cara serangan terutama termasuk pemanfaatan celah kontrak, kebocoran kunci pribadi, dan phishing. Sementara itu, kejadian phishing di Discord hampir terjadi setiap hari, dengan pengguna pribadi sering mengalami kerugian.
Tinjauan Kejadian Keamanan yang Khas
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang oleh peretas, lebih dari 100 NFT dicuri. Kerentanan berasal dari logika yang kacau pada fungsi buyItem dari kontrak TreasureMarketplaceBuyer, yang tidak memeriksa jenis token dan langsung menghitung harga, sehingga memungkinkan pembelian NFT dengan 0 token ERC-20. Ini mencerminkan masalah logika yang mungkin timbul ketika token ERC-1155 dan ERC-721 digunakan secara bersamaan.
APE Coin airdrop event
Pada 17 Maret 2022, peretas mendapatkan lebih dari 60.000 APE Coin melalui pinjaman kilat. Kontrak airdrop AirdropGrapesToken hanya menentukan kepemilikan NFT melalui balanceOf(), dan metode ini mudah dimanipulasi melalui pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance diserang, mengalami kerugian sebesar 120.000 USD. Kerentanan berasal dari serangan reentrancy ERC-1155, kontrak tidak memeriksa apakah FNFT baru sudah ada saat minting, dan variabel status bertambah setelah _mint(), menyebabkan kerentanan reentrancy.
NBA mencuri keuntungan
Pada 21 April 2022, proyek NBA diserang. Kontrak The_Association_Sales memiliki masalah pemalsuan dan penggunaan kembali tanda tangan saat memverifikasi daftar putih, tidak menyimpan tanda tangan yang telah digunakan dan tidak memeriksa msg.sender saat meneruskan parameter.
Akutar事件
Pada tanggal 23 April 2022, kerentanan kontrak AkuAuction proyek Akutar menyebabkan 11.5 ribu ETH terkunci. Terdapat dua masalah logika utama: fungsi pengembalian dana dapat terganggu secara jahat; tidak mempertimbangkan situasi pengguna yang melakukan penawaran beberapa kali yang mengakibatkan pengembalian dana tidak dapat dieksekusi.
Peristiwa XCarnival
Pada 24 Juni 2022, XCarnival mengalami serangan yang mengakibatkan kerugian sebesar 3087 ETH. Kontrak XNFT tidak memeriksa alamat xToken saat melakukan staking NFT, dan tidak memeriksa status catatan agunan saat meminjam, sehingga penyerang dapat menggunakan agunan yang tidak valid untuk meminjam secara berulang.
Pertanyaan Umum tentang Audit Kontrak NFT
Penyalahgunaan dan penggunaan kembali tanda tangan: kurangnya verifikasi pelaksanaan berulang; pemeriksaan tanda tangan tidak masuk akal.
Celah logika: Administrator dapat melampaui batas total dalam mencetak koin; terdapat serangan ketergantungan urutan transaksi saat lelang.
Serangan reentrancy ERC721/ERC1155: Menggunakan fungsi pemberitahuan transfer dapat menyebabkan reentrancy.
Ruang lingkup otorisasi terlalu besar: meminta otorisasi global alih-alih otorisasi token tunggal, meningkatkan risiko pencurian NFT.
Manipulasi Harga: Harga NFT tergantung pada jumlah token kontrak tertentu yang dimiliki, dapat dimanipulasi oleh pinjaman kilat.
Secara keseluruhan, kejadian keamanan kontrak NFT yang sering terjadi mencerminkan pentingnya audit keamanan profesional. Pihak proyek harus memperhatikan keamanan kontrak dan mencari audit profesional untuk mencegah risiko potensial.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
14 Suka
Hadiah
14
6
Posting ulang
Bagikan
Komentar
0/400
CommunitySlacker
· 4jam yang lalu
Ternyata celah kontrak bisa dimanfaatkan untuk mendapatkan begitu banyak keuntungan.
Lihat AsliBalas0
OnChainDetective
· 4jam yang lalu
hari lain, peretasan lain... analisis pola menunjukkan 90% disebabkan oleh kelalaian dasar kontrak smh
Lihat AsliBalas0
NotFinancialAdviser
· 4jam yang lalu
Hampir kehilangan celana, investasi dengan hati-hati
Lihat AsliBalas0
RebaseVictim
· 4jam yang lalu
Blockchain play people for suckers Investor Luas Ada uang tetap harus kejar NFT
Lihat AsliBalas0
ImpermanentLossFan
· 4jam yang lalu
60 juta dolar ah, dapat untung lagi, buruk
Lihat AsliBalas0
ApyWhisperer
· 4jam yang lalu
Sekali lagi melihat celah dalam smart contract, tsk tsk.
Celah kontrak NFT sering terjadi, kerugian mencapai 64,9 juta dolar AS pada paruh pertama tahun 2022.
Keamanan Kontrak NFT: Tinjauan Peristiwa Paruh Pertama 2022 dan Analisis Masalah Umum Audit
Pada paruh pertama tahun 2022, kejadian keamanan di bidang NFT sering terjadi, menyebabkan kerugian ekonomi yang besar. Menurut pemantauan platform data, terjadi 10 kejadian keamanan utama, dengan kerugian sekitar 64,9 juta dolar AS. Cara serangan terutama termasuk pemanfaatan celah kontrak, kebocoran kunci pribadi, dan phishing. Sementara itu, kejadian phishing di Discord hampir terjadi setiap hari, dengan pengguna pribadi sering mengalami kerugian.
Tinjauan Kejadian Keamanan yang Khas
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang oleh peretas, lebih dari 100 NFT dicuri. Kerentanan berasal dari logika yang kacau pada fungsi buyItem dari kontrak TreasureMarketplaceBuyer, yang tidak memeriksa jenis token dan langsung menghitung harga, sehingga memungkinkan pembelian NFT dengan 0 token ERC-20. Ini mencerminkan masalah logika yang mungkin timbul ketika token ERC-1155 dan ERC-721 digunakan secara bersamaan.
APE Coin airdrop event
Pada 17 Maret 2022, peretas mendapatkan lebih dari 60.000 APE Coin melalui pinjaman kilat. Kontrak airdrop AirdropGrapesToken hanya menentukan kepemilikan NFT melalui balanceOf(), dan metode ini mudah dimanipulasi melalui pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance diserang, mengalami kerugian sebesar 120.000 USD. Kerentanan berasal dari serangan reentrancy ERC-1155, kontrak tidak memeriksa apakah FNFT baru sudah ada saat minting, dan variabel status bertambah setelah _mint(), menyebabkan kerentanan reentrancy.
NBA mencuri keuntungan
Pada 21 April 2022, proyek NBA diserang. Kontrak The_Association_Sales memiliki masalah pemalsuan dan penggunaan kembali tanda tangan saat memverifikasi daftar putih, tidak menyimpan tanda tangan yang telah digunakan dan tidak memeriksa msg.sender saat meneruskan parameter.
Akutar事件
Pada tanggal 23 April 2022, kerentanan kontrak AkuAuction proyek Akutar menyebabkan 11.5 ribu ETH terkunci. Terdapat dua masalah logika utama: fungsi pengembalian dana dapat terganggu secara jahat; tidak mempertimbangkan situasi pengguna yang melakukan penawaran beberapa kali yang mengakibatkan pengembalian dana tidak dapat dieksekusi.
Peristiwa XCarnival
Pada 24 Juni 2022, XCarnival mengalami serangan yang mengakibatkan kerugian sebesar 3087 ETH. Kontrak XNFT tidak memeriksa alamat xToken saat melakukan staking NFT, dan tidak memeriksa status catatan agunan saat meminjam, sehingga penyerang dapat menggunakan agunan yang tidak valid untuk meminjam secara berulang.
Pertanyaan Umum tentang Audit Kontrak NFT
Penyalahgunaan dan penggunaan kembali tanda tangan: kurangnya verifikasi pelaksanaan berulang; pemeriksaan tanda tangan tidak masuk akal.
Celah logika: Administrator dapat melampaui batas total dalam mencetak koin; terdapat serangan ketergantungan urutan transaksi saat lelang.
Serangan reentrancy ERC721/ERC1155: Menggunakan fungsi pemberitahuan transfer dapat menyebabkan reentrancy.
Ruang lingkup otorisasi terlalu besar: meminta otorisasi global alih-alih otorisasi token tunggal, meningkatkan risiko pencurian NFT.
Manipulasi Harga: Harga NFT tergantung pada jumlah token kontrak tertentu yang dimiliki, dapat dimanipulasi oleh pinjaman kilat.
Secara keseluruhan, kejadian keamanan kontrak NFT yang sering terjadi mencerminkan pentingnya audit keamanan profesional. Pihak proyek harus memperhatikan keamanan kontrak dan mencari audit profesional untuk mencegah risiko potensial.