Keamanan Kontrak NFT: Analisis Peristiwa dan Diskusi Masalah Umum pada Paruh Pertama 2022
Pada paruh pertama tahun 2022, kejadian keamanan di bidang NFT sering terjadi, menyebabkan kerugian besar. Artikel ini akan melakukan analisis mendalam tentang situasi keamanan kontrak NFT selama periode ini, serta membahas kasus-kasus khas dan masalah umum.
Ringkasan Kejadian Keamanan NFT Pada Paruh Pertama Tahun Ini
Menurut data pemantauan keamanan blockchain, sepanjang paruh pertama tahun 2022, terjadi 10 insiden keamanan NFT yang signifikan, dengan total kerugian sekitar 64,9 juta dolar AS. Metode serangan utama termasuk pemanfaatan kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa serangan phishing di platform Discord sangat merajalela, hampir setiap hari ada pengguna yang mengalami kerugian akibatnya.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang oleh peretas, lebih dari 100 NFT dicuri.
Penyebab kerentanan: Logika kontrak yang kacau. Fungsi buyItem dari kontrak TreasureMarketplaceBuyer tidak memeriksa jenis token, yang menyebabkan NFT dapat dibeli dengan pembayaran token ERC-20 sebesar 0. Hal ini disebabkan oleh penggunaan campuran token ERC-1155 dan ERC-721, tanpa penanganan khusus untuk ERC-721 yang tidak memiliki konsep jumlah.
peristiwa airdrop APE Coin
Pada 17 Maret 2022, hacker memperoleh lebih dari 60.000 APE Coin airdrop melalui pinjaman kilat.
Penyebab celah: cacat logika kontrak. Kontrak airdrop hanya menentukan kepemilikan NFT pengguna melalui balanceOf(), yang hanya dapat memperoleh status sementara dan dapat dimanipulasi dengan pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance diserang oleh hacker, mengalami kerugian sebesar 120.000 dolar.
Penyebab kerentanan: serangan reentrancy ERC-1155. Kontrak Revest memiliki kerentanan reentrancy saat menambahkan aset jaminan FNFT, yang berasal dari panggilan eksternal dalam fungsi mint.
NBA mendapatkan keuntungan dari insiden
Pada 21 April 2022, proyek NBA diserang oleh hacker.
Penyebab kerentanan: cacat verifikasi tanda tangan. Kontrak The_Association_Sales memiliki masalah penipuan dan penggunaan kembali tanda tangan saat verifikasi daftar putih.
Peristiwa Akutar
Pada 23 April 2022, kerentanan kontrak AkuAuction proyek Akutar menyebabkan 11.000 ETH terkunci.
Penyebab celah: Kekurangan logika pengembalian dana. Fungsi pengembalian dana memiliki risiko yang dapat terputus secara jahat, dan tidak mempertimbangkan situasi tawaran ganda dari pengguna, yang mengakibatkan pengembalian dana tidak dapat dieksekusi.
Peristiwa XCarnival
Pada 24 Juni 2022, XCarnival diserang dan mengalami kerugian sebesar 3,8 juta dolar.
Penyebab celah: Validasi catatan jaminan yang tidak ketat. Kontrak XNFT tidak melakukan pemeriksaan yang memadai saat mempertaruhkan dan meminjam, yang mengakibatkan penggunaan kembali catatan jaminan yang tidak valid.
Masalah Keamanan Umum pada Kontrak NFT
Masalah verifikasi tanda tangan: kurangnya verifikasi eksekusi ulang, pemeriksaan tanda tangan tidak ketat.
Celah logika: Pembatasan pencetakan yang tidak tepat, proses lelang memiliki celah.
Serangan Reentrancy ERC721/ERC1155: Fitur pemberitahuan transfer dapat menyebabkan reentrancy.
Otorisasi yang berlebihan: meminta otorisasi global tetapi sebenarnya hanya memerlukan otorisasi satu token.
Manipulasi Harga: Harga tergantung pada faktor-faktor yang dapat dimanipulasi oleh pinjaman kilat.
Secara keseluruhan, masalah keamanan kontrak NFT kompleks dan beragam, audit profesional menjadi sangat penting. Pihak proyek harus memperhatikan keamanan kontrak, mengevaluasi risiko potensial secara menyeluruh, dan memastikan keamanan aset pengguna.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
22 Suka
Hadiah
22
7
Bagikan
Komentar
0/400
BackrowObserver
· 07-05 13:17
Suckers ini dipermainkan dengan sangat kejam.
Lihat AsliBalas0
TokenVelocityTrauma
· 07-05 09:51
lagi bermain orang untuk suckers
Lihat AsliBalas0
SmartContractRebel
· 07-02 15:48
Apakah kontrak ini tidak diaudit? Bangunlah.
Lihat AsliBalas0
metaverse_hermit
· 07-02 15:41
Berapa banyak yang dicuri? Lihat lapar
Lihat AsliBalas0
MetaverseLandlord
· 07-02 15:41
Sangat wangi. Suckers selamat datang untuk play people for suckers~
Analisis Keamanan Kontrak NFT: Diskusi tentang Peristiwa Khas dan Kerentanan Umum di Paruh Pertama 2022
Keamanan Kontrak NFT: Analisis Peristiwa dan Diskusi Masalah Umum pada Paruh Pertama 2022
Pada paruh pertama tahun 2022, kejadian keamanan di bidang NFT sering terjadi, menyebabkan kerugian besar. Artikel ini akan melakukan analisis mendalam tentang situasi keamanan kontrak NFT selama periode ini, serta membahas kasus-kasus khas dan masalah umum.
Ringkasan Kejadian Keamanan NFT Pada Paruh Pertama Tahun Ini
Menurut data pemantauan keamanan blockchain, sepanjang paruh pertama tahun 2022, terjadi 10 insiden keamanan NFT yang signifikan, dengan total kerugian sekitar 64,9 juta dolar AS. Metode serangan utama termasuk pemanfaatan kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa serangan phishing di platform Discord sangat merajalela, hampir setiap hari ada pengguna yang mengalami kerugian akibatnya.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang oleh peretas, lebih dari 100 NFT dicuri.
Penyebab kerentanan: Logika kontrak yang kacau. Fungsi buyItem dari kontrak TreasureMarketplaceBuyer tidak memeriksa jenis token, yang menyebabkan NFT dapat dibeli dengan pembayaran token ERC-20 sebesar 0. Hal ini disebabkan oleh penggunaan campuran token ERC-1155 dan ERC-721, tanpa penanganan khusus untuk ERC-721 yang tidak memiliki konsep jumlah.
peristiwa airdrop APE Coin
Pada 17 Maret 2022, hacker memperoleh lebih dari 60.000 APE Coin airdrop melalui pinjaman kilat.
Penyebab celah: cacat logika kontrak. Kontrak airdrop hanya menentukan kepemilikan NFT pengguna melalui balanceOf(), yang hanya dapat memperoleh status sementara dan dapat dimanipulasi dengan pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance diserang oleh hacker, mengalami kerugian sebesar 120.000 dolar.
Penyebab kerentanan: serangan reentrancy ERC-1155. Kontrak Revest memiliki kerentanan reentrancy saat menambahkan aset jaminan FNFT, yang berasal dari panggilan eksternal dalam fungsi mint.
NBA mendapatkan keuntungan dari insiden
Pada 21 April 2022, proyek NBA diserang oleh hacker.
Penyebab kerentanan: cacat verifikasi tanda tangan. Kontrak The_Association_Sales memiliki masalah penipuan dan penggunaan kembali tanda tangan saat verifikasi daftar putih.
Peristiwa Akutar
Pada 23 April 2022, kerentanan kontrak AkuAuction proyek Akutar menyebabkan 11.000 ETH terkunci.
Penyebab celah: Kekurangan logika pengembalian dana. Fungsi pengembalian dana memiliki risiko yang dapat terputus secara jahat, dan tidak mempertimbangkan situasi tawaran ganda dari pengguna, yang mengakibatkan pengembalian dana tidak dapat dieksekusi.
Peristiwa XCarnival
Pada 24 Juni 2022, XCarnival diserang dan mengalami kerugian sebesar 3,8 juta dolar.
Penyebab celah: Validasi catatan jaminan yang tidak ketat. Kontrak XNFT tidak melakukan pemeriksaan yang memadai saat mempertaruhkan dan meminjam, yang mengakibatkan penggunaan kembali catatan jaminan yang tidak valid.
Masalah Keamanan Umum pada Kontrak NFT
Masalah verifikasi tanda tangan: kurangnya verifikasi eksekusi ulang, pemeriksaan tanda tangan tidak ketat.
Celah logika: Pembatasan pencetakan yang tidak tepat, proses lelang memiliki celah.
Serangan Reentrancy ERC721/ERC1155: Fitur pemberitahuan transfer dapat menyebabkan reentrancy.
Otorisasi yang berlebihan: meminta otorisasi global tetapi sebenarnya hanya memerlukan otorisasi satu token.
Manipulasi Harga: Harga tergantung pada faktor-faktor yang dapat dimanipulasi oleh pinjaman kilat.
Secara keseluruhan, masalah keamanan kontrak NFT kompleks dan beragam, audit profesional menjadi sangat penting. Pihak proyek harus memperhatikan keamanan kontrak, mengevaluasi risiko potensial secara menyeluruh, dan memastikan keamanan aset pengguna.