Phân tích vấn đề an ninh hợp đồng NFT và đề xuất kiểm toán
Trong nửa đầu năm 2022, lĩnh vực NFT đã xảy ra nhiều sự kiện an ninh nghiêm trọng, gây ra tổn thất kinh tế lớn. Theo giám sát của các nền tảng dữ liệu, chỉ riêng các sự kiện an ninh chính đã có 10 vụ, với thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đồng thời, các cuộc tấn công lừa đảo trên nền tảng Discord cũng rất tràn lan, gần như hàng ngày có người dùng bị thiệt hại do nhấp vào các liên kết độc hại.
Phân tích sự kiện an toàn điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, hơn 100 NFT đã bị đánh cắp. Nguyên nhân là do hợp đồng có lỗ hổng logic, việc kết hợp sử dụng token ERC-1155 và ERC-721 dẫn đến lỗi tính toán, khiến kẻ tấn công có thể mua NFT mà không tốn chi phí.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, hacker đã lợi dụng khoản vay chớp nhoáng để thu được hơn 60.000 APE Coin airdrop. Lỗ hổng nằm ở chỗ hợp đồng airdrop chỉ kiểm tra quyền sở hữu tạm thời của người gọi đối với NFT, và điều này có thể được thao túng thông qua khoản vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công và thiệt hại 120.000 USD. Nguyên nhân là do hợp đồng có lỗ hổng tái nhập ERC-1155, kẻ tấn công có thể gọi lại các hàm liên quan trong quá trình đúc.
sự kiện tấn công dự án NBA
Vào ngày 21 tháng 4 năm 2022, dự án NBA đã bị tấn công bởi hacker. Hợp đồng có vấn đề mạo danh và tái sử dụng chữ ký khi xác minh danh sách trắng, không ghi lại và kiểm tra các chữ ký đã được sử dụng.
Sự kiện Akutar
Vào ngày 23 tháng 4 năm 2022, dự án Akutar đã bị khóa 34 triệu đô la tài sản do lỗ hổng logic trong hợp đồng. Chức năng hoàn tiền được thiết kế không hợp lý và không xem xét tình huống người dùng đấu thầu nhiều lần.
Sự kiện XCarnival
Ngày 24 tháng 6 năm 2022, XCarnival đã bị tấn công và thiệt hại khoảng 3,8 triệu đô la Mỹ. Nguyên nhân là do hợp đồng thiếu kiểm tra an toàn cần thiết trong quá trình staking và cho vay.
Các vấn đề kiểm toán hợp đồng NFT thường gặp
Giả mạo và tái sử dụng chữ ký: Thiếu xác thực thực hiện lặp lại, kiểm tra chữ ký không hợp lý.
Lỗ hổng logic: Quyền quản trị viên quá lớn, quá trình đấu giá có lỗ hổng.
Tấn công tái nhập ERC721/ERC1155: Chức năng thông báo chuyển tiền có thể dẫn đến tái nhập.
Phạm vi ủy quyền quá lớn: Người dùng có thể ủy quyền quá mức dẫn đến việc NFT bị đánh cắp.
Kiểm soát giá: Giá NFT phụ thuộc vào các yếu tố bên ngoài, dễ bị thao túng.
Kết luận
Sự cố an toàn hợp đồng NFT xảy ra thường xuyên, nguyên nhân chủ yếu là do thiếu kiểm toán an toàn toàn diện. Các nhà phát triển dự án nên chú trọng đến an toàn hợp đồng, tìm kiếm các công ty an toàn chuyên nghiệp để thực hiện kiểm toán, nhằm phòng ngừa rủi ro tiềm ẩn, bảo vệ an toàn tài sản của người dùng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
16 thích
Phần thưởng
16
5
Chia sẻ
Bình luận
0/400
blocksnark
· 08-02 03:33
Lỗi quá nhiều rồi, tôi thật sự phục cách thao tác ngu ngốc này.
Xem bản gốcTrả lời0
HashBrownies
· 07-31 08:59
Thua lỗ thảm hại rồi đúng không? Rõ ràng đã có bài học mà vẫn phải lặp lại sai lầm.
Xem bản gốcTrả lời0
SerLiquidated
· 07-31 04:17
Nói thật, bây giờ ai còn dám chạm vào nft.
Xem bản gốcTrả lời0
LiquidationWatcher
· 07-31 04:17
*cơn hồi tưởng PTSD đến treasuredao* ôi không, không phải thêm một thảm họa hợp đồng thông minh nào nữa đang chờ xảy ra... hãy giữ an toàn anon, kiểm tra kỹ các kiểm toán đó hoặc sẽ bị rekt thật sự.
Rủi ro an toàn hợp đồng NFT thường xuyên xảy ra, kiểm toán trở thành hàng rào phòng ngừa quan trọng.
Phân tích vấn đề an ninh hợp đồng NFT và đề xuất kiểm toán
Trong nửa đầu năm 2022, lĩnh vực NFT đã xảy ra nhiều sự kiện an ninh nghiêm trọng, gây ra tổn thất kinh tế lớn. Theo giám sát của các nền tảng dữ liệu, chỉ riêng các sự kiện an ninh chính đã có 10 vụ, với thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đồng thời, các cuộc tấn công lừa đảo trên nền tảng Discord cũng rất tràn lan, gần như hàng ngày có người dùng bị thiệt hại do nhấp vào các liên kết độc hại.
Phân tích sự kiện an toàn điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, hơn 100 NFT đã bị đánh cắp. Nguyên nhân là do hợp đồng có lỗ hổng logic, việc kết hợp sử dụng token ERC-1155 và ERC-721 dẫn đến lỗi tính toán, khiến kẻ tấn công có thể mua NFT mà không tốn chi phí.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, hacker đã lợi dụng khoản vay chớp nhoáng để thu được hơn 60.000 APE Coin airdrop. Lỗ hổng nằm ở chỗ hợp đồng airdrop chỉ kiểm tra quyền sở hữu tạm thời của người gọi đối với NFT, và điều này có thể được thao túng thông qua khoản vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công và thiệt hại 120.000 USD. Nguyên nhân là do hợp đồng có lỗ hổng tái nhập ERC-1155, kẻ tấn công có thể gọi lại các hàm liên quan trong quá trình đúc.
sự kiện tấn công dự án NBA
Vào ngày 21 tháng 4 năm 2022, dự án NBA đã bị tấn công bởi hacker. Hợp đồng có vấn đề mạo danh và tái sử dụng chữ ký khi xác minh danh sách trắng, không ghi lại và kiểm tra các chữ ký đã được sử dụng.
Sự kiện Akutar
Vào ngày 23 tháng 4 năm 2022, dự án Akutar đã bị khóa 34 triệu đô la tài sản do lỗ hổng logic trong hợp đồng. Chức năng hoàn tiền được thiết kế không hợp lý và không xem xét tình huống người dùng đấu thầu nhiều lần.
Sự kiện XCarnival
Ngày 24 tháng 6 năm 2022, XCarnival đã bị tấn công và thiệt hại khoảng 3,8 triệu đô la Mỹ. Nguyên nhân là do hợp đồng thiếu kiểm tra an toàn cần thiết trong quá trình staking và cho vay.
Các vấn đề kiểm toán hợp đồng NFT thường gặp
Giả mạo và tái sử dụng chữ ký: Thiếu xác thực thực hiện lặp lại, kiểm tra chữ ký không hợp lý.
Lỗ hổng logic: Quyền quản trị viên quá lớn, quá trình đấu giá có lỗ hổng.
Tấn công tái nhập ERC721/ERC1155: Chức năng thông báo chuyển tiền có thể dẫn đến tái nhập.
Phạm vi ủy quyền quá lớn: Người dùng có thể ủy quyền quá mức dẫn đến việc NFT bị đánh cắp.
Kiểm soát giá: Giá NFT phụ thuộc vào các yếu tố bên ngoài, dễ bị thao túng.
Kết luận
Sự cố an toàn hợp đồng NFT xảy ra thường xuyên, nguyên nhân chủ yếu là do thiếu kiểm toán an toàn toàn diện. Các nhà phát triển dự án nên chú trọng đến an toàn hợp đồng, tìm kiếm các công ty an toàn chuyên nghiệp để thực hiện kiểm toán, nhằm phòng ngừa rủi ro tiềm ẩn, bảo vệ an toàn tài sản của người dùng.