Analisis Keamanan Kontrak NFT: Diskusi tentang Peristiwa Khas dan Kerentanan Umum di Paruh Pertama 2022

robot
Pembuatan abstrak sedang berlangsung

Keamanan Kontrak NFT: Analisis Peristiwa dan Diskusi Masalah Umum pada Paruh Pertama 2022

Pada paruh pertama tahun 2022, kejadian keamanan di bidang NFT sering terjadi, menyebabkan kerugian besar. Artikel ini akan melakukan analisis mendalam tentang situasi keamanan kontrak NFT selama periode ini, serta membahas kasus-kasus khas dan masalah umum.

Ringkasan Kejadian Keamanan NFT Pada Paruh Pertama Tahun Ini

Menurut data pemantauan keamanan blockchain, sepanjang paruh pertama tahun 2022, terjadi 10 insiden keamanan NFT yang signifikan, dengan total kerugian sekitar 64,9 juta dolar AS. Metode serangan utama termasuk pemanfaatan kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa serangan phishing di platform Discord sangat merajalela, hampir setiap hari ada pengguna yang mengalami kerugian akibatnya.

Analisis Kejadian Keamanan NFT Semester Pertama: Kasus Khas Apa yang Perlu Kita Waspadai?

Analisis Kejadian Keamanan Tipikal

Peristiwa TreasureDAO

Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang oleh peretas, lebih dari 100 NFT dicuri.

Penyebab kerentanan: Logika kontrak yang kacau. Fungsi buyItem dari kontrak TreasureMarketplaceBuyer tidak memeriksa jenis token, yang menyebabkan NFT dapat dibeli dengan pembayaran token ERC-20 sebesar 0. Hal ini disebabkan oleh penggunaan campuran token ERC-1155 dan ERC-721, tanpa penanganan khusus untuk ERC-721 yang tidak memiliki konsep jumlah.

peristiwa airdrop APE Coin

Pada 17 Maret 2022, hacker memperoleh lebih dari 60.000 APE Coin airdrop melalui pinjaman kilat.

Penyebab celah: cacat logika kontrak. Kontrak airdrop hanya menentukan kepemilikan NFT pengguna melalui balanceOf(), yang hanya dapat memperoleh status sementara dan dapat dimanipulasi dengan pinjaman kilat.

Peristiwa Revest Finance

Pada 27 Maret 2022, Revest Finance diserang oleh hacker, mengalami kerugian sebesar 120.000 dolar.

Penyebab kerentanan: serangan reentrancy ERC-1155. Kontrak Revest memiliki kerentanan reentrancy saat menambahkan aset jaminan FNFT, yang berasal dari panggilan eksternal dalam fungsi mint.

NBA mendapatkan keuntungan dari insiden

Pada 21 April 2022, proyek NBA diserang oleh hacker.

Penyebab kerentanan: cacat verifikasi tanda tangan. Kontrak The_Association_Sales memiliki masalah penipuan dan penggunaan kembali tanda tangan saat verifikasi daftar putih.

Peristiwa Akutar

Pada 23 April 2022, kerentanan kontrak AkuAuction proyek Akutar menyebabkan 11.000 ETH terkunci.

Penyebab celah: Kekurangan logika pengembalian dana. Fungsi pengembalian dana memiliki risiko yang dapat terputus secara jahat, dan tidak mempertimbangkan situasi tawaran ganda dari pengguna, yang mengakibatkan pengembalian dana tidak dapat dieksekusi.

Peristiwa XCarnival

Pada 24 Juni 2022, XCarnival diserang dan mengalami kerugian sebesar 3,8 juta dolar.

Penyebab celah: Validasi catatan jaminan yang tidak ketat. Kontrak XNFT tidak melakukan pemeriksaan yang memadai saat mempertaruhkan dan meminjam, yang mengakibatkan penggunaan kembali catatan jaminan yang tidak valid.

Analisis Kejadian Keamanan NFT Paruh Pertama: Kasus Tipe Apa yang Perlu Kita Waspadai?

Masalah Keamanan Umum pada Kontrak NFT

  1. Masalah verifikasi tanda tangan: kurangnya verifikasi eksekusi ulang, pemeriksaan tanda tangan tidak ketat.

  2. Celah logika: Pembatasan pencetakan yang tidak tepat, proses lelang memiliki celah.

  3. Serangan Reentrancy ERC721/ERC1155: Fitur pemberitahuan transfer dapat menyebabkan reentrancy.

  4. Otorisasi yang berlebihan: meminta otorisasi global tetapi sebenarnya hanya memerlukan otorisasi satu token.

  5. Manipulasi Harga: Harga tergantung pada faktor-faktor yang dapat dimanipulasi oleh pinjaman kilat.

Analisis Kejadian Keamanan NFT Semester Pertama: Kasus Klasik Apa yang Harus Kita Waspadai?

Secara keseluruhan, masalah keamanan kontrak NFT kompleks dan beragam, audit profesional menjadi sangat penting. Pihak proyek harus memperhatikan keamanan kontrak, mengevaluasi risiko potensial secara menyeluruh, dan memastikan keamanan aset pengguna.

Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
  • Hadiah
  • 7
  • Bagikan
Komentar
0/400
BackrowObservervip
· 07-05 13:17
Suckers ini dipermainkan dengan sangat kejam.
Lihat AsliBalas0
TokenVelocityTraumavip
· 07-05 09:51
lagi bermain orang untuk suckers
Lihat AsliBalas0
SmartContractRebelvip
· 07-02 15:48
Apakah kontrak ini tidak diaudit? Bangunlah.
Lihat AsliBalas0
metaverse_hermitvip
· 07-02 15:41
Berapa banyak yang dicuri? Lihat lapar
Lihat AsliBalas0
MetaverseLandlordvip
· 07-02 15:41
Sangat wangi. Suckers selamat datang untuk play people for suckers~
Lihat AsliBalas0
MEVictimvip
· 07-02 15:38
Kontrak Rekt Jangan tertipu!
Lihat AsliBalas0
RektButSmilingvip
· 07-02 15:27
又被play people for suckers一波suckers咯~
Lihat AsliBalas0
Perdagangkan Kripto Di Mana Saja Kapan Saja
qrCode
Pindai untuk mengunduh aplikasi Gate
Komunitas
Bahasa Indonesia
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)