An toàn hợp đồng NFT: Phân tích sự kiện nửa đầu năm 2022 và thảo luận về các vấn đề phổ biến
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra tổn thất lớn. Bài viết này sẽ phân tích sâu về tình hình an ninh hợp đồng NFT trong giai đoạn này, khám phá các trường hợp điển hình và các vấn đề phổ biến.
Tóm tắt về các sự kiện an ninh NFT trong nửa đầu năm
Theo dữ liệu giám sát an ninh blockchain, trong nửa đầu năm 2022 đã xảy ra 10 sự kiện an ninh NFT nghiêm trọng, tổng thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, tấn công lừa đảo trên nền tảng Discord diễn ra đặc biệt nghiêm trọng, gần như hàng ngày có người dùng bị thiệt hại vì lý do này.
Phân tích sự kiện an toàn điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, hơn 100 NFT đã bị đánh cắp.
Nguyên nhân lỗi: Logic hợp đồng lộn xộn. Hàm buyItem của hợp đồng TreasureMarketplaceBuyer không kiểm tra loại token, dẫn đến việc có thể mua NFT trong trường hợp thanh toán bằng token ERC-20 với số tiền là 0. Điều này xảy ra do việc sử dụng trộn lẫn token ERC-1155 và ERC-721, không có xử lý đặc biệt cho ERC-721 không có khái niệm số lượng.
Sự kiện airdrop APE Coin
Ngày 17 tháng 3 năm 2022, hacker đã sử dụng vay chớp nhoáng để lấy hơn 60.000 mã thông báo APE Coin airdrop.
Nguyên nhân lỗ hổng: Khuyết điểm trong logic hợp đồng. Hợp đồng airdrop chỉ dựa vào balanceOf() để xác định quyền sở hữu NFT của người dùng, và điều này chỉ có thể lấy trạng thái tạm thời, có thể bị thao túng bởi vay nhanh.
Sự kiện Revest Finance
Ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công bởi hacker, tổn thất 120.000 đô la.
Nguyên nhân lỗ hổng: Tấn công tái nhập ERC-1155. Hợp đồng Revest có lỗ hổng tái nhập khi thêm tài sản thế chấp FNFT, xuất phát từ cuộc gọi bên ngoài trong hàm đúc.
Sự kiện NBA kiếm lợi từ thiên nga
Ngày 21 tháng 4 năm 2022, dự án NBA đã bị tấn công bởi hacker.
Nguyên nhân lỗ hổng: Khuyết điểm xác thực chữ ký. Hợp đồng The_Association_Sales có vấn đề giả mạo và tái sử dụng chữ ký trong quá trình xác thực danh sách trắng.
Sự kiện Akutar
Ngày 23 tháng 4 năm 2022, lỗ hổng hợp đồng AkuAuction của dự án Akutar đã dẫn đến việc 11.000 ETH bị khóa.
Nguyên nhân lỗ hổng: Thiếu sót trong logic hoàn tiền. Hàm hoàn tiền có nguy cơ bị chặn bởi kẻ xấu và không xem xét trường hợp người dùng tham gia đấu thầu nhiều lần, dẫn đến việc không thể thực hiện hoàn tiền.
Sự kiện XCarnival
Ngày 24 tháng 6 năm 2022, XCarnival đã bị tấn công và thiệt hại 3.8 triệu đô la.
Nguyên nhân lỗ hổng: Kiểm tra hồ sơ thế chấp không chặt chẽ. Hợp đồng XNFT không thực hiện kiểm tra đầy đủ khi thế chấp và vay mượn, dẫn đến việc sử dụng lại các hồ sơ thế chấp không hợp lệ.
Các vấn đề an ninh thường gặp trong hợp đồng NFT
Vấn đề xác thực chữ ký: Thiếu kiểm tra xác thực lặp lại, kiểm tra chữ ký không nghiêm ngặt.
Lỗi logic: Hạn chế đúc tiền không hợp lý, quy trình đấu giá có lỗ hổng.
Tấn công tái nhập ERC721/ERC1155: Chức năng thông báo chuyển tiền có thể dẫn đến tái nhập.
Ủy quyền quá mức: yêu cầu ủy quyền toàn cầu nhưng thực tế chỉ cần ủy quyền một mã thông báo.
Thao túng giá: Giá phụ thuộc vào các yếu tố có thể bị thao túng bởi vay chớp nhoáng.
Tóm lại, vấn đề an toàn hợp đồng NFT rất phức tạp và đa dạng, việc kiểm toán chuyên nghiệp trở nên đặc biệt quan trọng. Các bên dự án nên coi trọng an toàn hợp đồng, đánh giá toàn diện các rủi ro tiềm ẩn, đảm bảo an toàn tài sản của người dùng.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
22 thích
Phần thưởng
22
7
Chia sẻ
Bình luận
0/400
BackrowObserver
· 07-05 13:17
Đồ ngốc này chơi đùa với mọi người thật sự á!
Xem bản gốcTrả lời0
TokenVelocityTrauma
· 07-05 09:51
又 chơi đùa với mọi người một đợt đồ ngốc
Xem bản gốcTrả lời0
SmartContractRebel
· 07-02 15:48
Hợp đồng này không được kiểm toán sao? Tỉnh táo lại đi.
Phân tích an ninh hợp đồng NFT: Thảo luận về các sự kiện điển hình và lỗ hổng thường gặp trong nửa đầu năm 2022
An toàn hợp đồng NFT: Phân tích sự kiện nửa đầu năm 2022 và thảo luận về các vấn đề phổ biến
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra tổn thất lớn. Bài viết này sẽ phân tích sâu về tình hình an ninh hợp đồng NFT trong giai đoạn này, khám phá các trường hợp điển hình và các vấn đề phổ biến.
Tóm tắt về các sự kiện an ninh NFT trong nửa đầu năm
Theo dữ liệu giám sát an ninh blockchain, trong nửa đầu năm 2022 đã xảy ra 10 sự kiện an ninh NFT nghiêm trọng, tổng thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, tấn công lừa đảo trên nền tảng Discord diễn ra đặc biệt nghiêm trọng, gần như hàng ngày có người dùng bị thiệt hại vì lý do này.
Phân tích sự kiện an toàn điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, hơn 100 NFT đã bị đánh cắp.
Nguyên nhân lỗi: Logic hợp đồng lộn xộn. Hàm buyItem của hợp đồng TreasureMarketplaceBuyer không kiểm tra loại token, dẫn đến việc có thể mua NFT trong trường hợp thanh toán bằng token ERC-20 với số tiền là 0. Điều này xảy ra do việc sử dụng trộn lẫn token ERC-1155 và ERC-721, không có xử lý đặc biệt cho ERC-721 không có khái niệm số lượng.
Sự kiện airdrop APE Coin
Ngày 17 tháng 3 năm 2022, hacker đã sử dụng vay chớp nhoáng để lấy hơn 60.000 mã thông báo APE Coin airdrop.
Nguyên nhân lỗ hổng: Khuyết điểm trong logic hợp đồng. Hợp đồng airdrop chỉ dựa vào balanceOf() để xác định quyền sở hữu NFT của người dùng, và điều này chỉ có thể lấy trạng thái tạm thời, có thể bị thao túng bởi vay nhanh.
Sự kiện Revest Finance
Ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công bởi hacker, tổn thất 120.000 đô la.
Nguyên nhân lỗ hổng: Tấn công tái nhập ERC-1155. Hợp đồng Revest có lỗ hổng tái nhập khi thêm tài sản thế chấp FNFT, xuất phát từ cuộc gọi bên ngoài trong hàm đúc.
Sự kiện NBA kiếm lợi từ thiên nga
Ngày 21 tháng 4 năm 2022, dự án NBA đã bị tấn công bởi hacker.
Nguyên nhân lỗ hổng: Khuyết điểm xác thực chữ ký. Hợp đồng The_Association_Sales có vấn đề giả mạo và tái sử dụng chữ ký trong quá trình xác thực danh sách trắng.
Sự kiện Akutar
Ngày 23 tháng 4 năm 2022, lỗ hổng hợp đồng AkuAuction của dự án Akutar đã dẫn đến việc 11.000 ETH bị khóa.
Nguyên nhân lỗ hổng: Thiếu sót trong logic hoàn tiền. Hàm hoàn tiền có nguy cơ bị chặn bởi kẻ xấu và không xem xét trường hợp người dùng tham gia đấu thầu nhiều lần, dẫn đến việc không thể thực hiện hoàn tiền.
Sự kiện XCarnival
Ngày 24 tháng 6 năm 2022, XCarnival đã bị tấn công và thiệt hại 3.8 triệu đô la.
Nguyên nhân lỗ hổng: Kiểm tra hồ sơ thế chấp không chặt chẽ. Hợp đồng XNFT không thực hiện kiểm tra đầy đủ khi thế chấp và vay mượn, dẫn đến việc sử dụng lại các hồ sơ thế chấp không hợp lệ.
Các vấn đề an ninh thường gặp trong hợp đồng NFT
Vấn đề xác thực chữ ký: Thiếu kiểm tra xác thực lặp lại, kiểm tra chữ ký không nghiêm ngặt.
Lỗi logic: Hạn chế đúc tiền không hợp lý, quy trình đấu giá có lỗ hổng.
Tấn công tái nhập ERC721/ERC1155: Chức năng thông báo chuyển tiền có thể dẫn đến tái nhập.
Ủy quyền quá mức: yêu cầu ủy quyền toàn cầu nhưng thực tế chỉ cần ủy quyền một mã thông báo.
Thao túng giá: Giá phụ thuộc vào các yếu tố có thể bị thao túng bởi vay chớp nhoáng.
Tóm lại, vấn đề an toàn hợp đồng NFT rất phức tạp và đa dạng, việc kiểm toán chuyên nghiệp trở nên đặc biệt quan trọng. Các bên dự án nên coi trọng an toàn hợp đồng, đánh giá toàn diện các rủi ro tiềm ẩn, đảm bảo an toàn tài sản của người dùng.