Analisis Masalah Keamanan Kontrak NFT dan Poin Penting Audit
Pada paruh pertama tahun 2022, terjadi beberapa insiden keamanan besar di bidang NFT yang mengakibatkan kerugian sekitar 64,9 juta dolar AS. Insiden-insiden ini terutama melibatkan eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan serangan phishing. Perlu dicatat bahwa insiden phishing di platform Discord terjadi hampir setiap hari, menyebabkan banyak pengguna pribadi mengalami kerugian.
Analisis Kejadian Keamanan Tipe
TreasureDAO peristiwa
Pada 3 Maret, platform perdagangan TreasureDAO mengalami serangan, lebih dari 100 NFT dicuri. Kerentanan berasal dari kesalahan logika dalam kontrak TreasureMarketplaceBuyer, yang memungkinkan penyerang membeli NFT tanpa melakukan pembayaran. Masalah ini terutama disebabkan oleh kebingungan logika akibat penggunaan campuran token ERC-1155 dan ERC-721.
APE Coin airdrop event
Pada 17 Maret, penyerang memanfaatkan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin airdrop. Kerentanan terdapat pada kontrak airdrop, yang hanya memeriksa kepemilikan sementara pengguna terhadap NFT, dan ini dapat dimanipulasi melalui pinjaman kilat.
Revest Finance kejadian
Pada 27 Maret, Revest Finance diserang dan mengalami kerugian sekitar 120.000 dolar AS. Ini adalah serangan reentrancy ERC-1155 yang khas, berasal dari cacat logika dalam kontrak saat mencetak FNFT baru.
Proyek NBA Serangan
Pada 21 April, proyek NBA mengalami serangan. Masalah terletak pada mekanisme verifikasi tanda tangan whitelist, yang memiliki celah pemalsuan dan penggunaan ulang tanda tangan.
Akutar peristiwa
Pada 23 April, kerentanan kontrak pintar proyek Akutar menyebabkan aset sekitar 34 juta dolar terkunci. Ini disebabkan oleh cacat logika dalam fungsi pengembalian dana dalam kontrak, yang tidak mempertimbangkan kemungkinan pengguna menawar beberapa NFT.
XCarnival acara
Pada 24 Juni, XCarnival diserang, mengalami kerugian sekitar 3,8 juta dolar AS. Kerentanannya terletak pada kurangnya pemeriksaan keamanan yang diperlukan pada fungsi staking dan pinjam-meminjam dalam kontrak XNFT.
Pertanyaan Umum tentang Audit Kontrak NFT
Penyalahgunaan dan penggunaan ulang tanda tangan:
Kurang verifikasi eksekusi berulang
Pemeriksaan tanda tangan tidak wajar
Celah logika:
Kontrol total pasokan koin yang tidak tepat
Urutan transaksi dalam proses lelang bergantung pada serangan
Serangan Reentrancy ERC721 & ERC1155:
Fitur notifikasi transfer mungkin menyebabkan reentrancy
Ruang lingkup otorisasi terlalu besar:
Otorisasi global yang tidak perlu dapat menyebabkan NFT dicuri
Manipulasi harga:
Harga NFT tergantung pada faktor eksternal, mudah dimanipulasi
Keberadaan masalah keamanan ini menyoroti pentingnya melakukan audit profesional yang komprehensif terhadap kontrak NFT. Tim proyek harus memperhatikan keamanan kontrak, menggunakan audit keamanan profesional untuk menghindari risiko potensial, dan melindungi keamanan aset pengguna.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
9 Suka
Hadiah
9
3
Bagikan
Komentar
0/400
FloorPriceWatcher
· 13jam yang lalu
Cih, seberapa lama kita harus terjebak di lubang yang sama?
Lihat AsliBalas0
gas_fee_therapy
· 13jam yang lalu
Terkena lagi? Kerentanan kontrak memang jahat.
Lihat AsliBalas0
AlgoAlchemist
· 14jam yang lalu
Tsk, satu lagi DAO yang terungkap. Tapi tidak masalah lah.
Kejadian keamanan kontrak NFT sering terjadi, enam poin audit untuk mencegah risiko.
Analisis Masalah Keamanan Kontrak NFT dan Poin Penting Audit
Pada paruh pertama tahun 2022, terjadi beberapa insiden keamanan besar di bidang NFT yang mengakibatkan kerugian sekitar 64,9 juta dolar AS. Insiden-insiden ini terutama melibatkan eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan serangan phishing. Perlu dicatat bahwa insiden phishing di platform Discord terjadi hampir setiap hari, menyebabkan banyak pengguna pribadi mengalami kerugian.
Analisis Kejadian Keamanan Tipe
TreasureDAO peristiwa
Pada 3 Maret, platform perdagangan TreasureDAO mengalami serangan, lebih dari 100 NFT dicuri. Kerentanan berasal dari kesalahan logika dalam kontrak TreasureMarketplaceBuyer, yang memungkinkan penyerang membeli NFT tanpa melakukan pembayaran. Masalah ini terutama disebabkan oleh kebingungan logika akibat penggunaan campuran token ERC-1155 dan ERC-721.
APE Coin airdrop event
Pada 17 Maret, penyerang memanfaatkan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin airdrop. Kerentanan terdapat pada kontrak airdrop, yang hanya memeriksa kepemilikan sementara pengguna terhadap NFT, dan ini dapat dimanipulasi melalui pinjaman kilat.
Revest Finance kejadian
Pada 27 Maret, Revest Finance diserang dan mengalami kerugian sekitar 120.000 dolar AS. Ini adalah serangan reentrancy ERC-1155 yang khas, berasal dari cacat logika dalam kontrak saat mencetak FNFT baru.
Proyek NBA Serangan
Pada 21 April, proyek NBA mengalami serangan. Masalah terletak pada mekanisme verifikasi tanda tangan whitelist, yang memiliki celah pemalsuan dan penggunaan ulang tanda tangan.
Akutar peristiwa
Pada 23 April, kerentanan kontrak pintar proyek Akutar menyebabkan aset sekitar 34 juta dolar terkunci. Ini disebabkan oleh cacat logika dalam fungsi pengembalian dana dalam kontrak, yang tidak mempertimbangkan kemungkinan pengguna menawar beberapa NFT.
XCarnival acara
Pada 24 Juni, XCarnival diserang, mengalami kerugian sekitar 3,8 juta dolar AS. Kerentanannya terletak pada kurangnya pemeriksaan keamanan yang diperlukan pada fungsi staking dan pinjam-meminjam dalam kontrak XNFT.
Pertanyaan Umum tentang Audit Kontrak NFT
Penyalahgunaan dan penggunaan ulang tanda tangan:
Celah logika:
Serangan Reentrancy ERC721 & ERC1155:
Ruang lingkup otorisasi terlalu besar:
Manipulasi harga:
Keberadaan masalah keamanan ini menyoroti pentingnya melakukan audit profesional yang komprehensif terhadap kontrak NFT. Tim proyek harus memperhatikan keamanan kontrak, menggunakan audit keamanan profesional untuk menghindari risiko potensial, dan melindungi keamanan aset pengguna.