Phân tích vấn đề an toàn hợp đồng NFT và những điểm cần kiểm tra
Trong nửa đầu năm 2022, lĩnh vực NFT đã xảy ra nhiều sự kiện an ninh nghiêm trọng, gây thiệt hại khoảng 64,9 triệu đô la Mỹ. Những sự kiện này chủ yếu liên quan đến việc khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và tấn công lừa đảo. Đáng chú ý là các sự kiện lừa đảo trên nền tảng Discord hầu như diễn ra hàng ngày, dẫn đến nhiều người dùng cá nhân chịu thiệt hại.
Phân tích sự kiện an toàn điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị tấn công, hơn 100 NFT đã bị đánh cắp. Lỗ hổng xuất phát từ lỗi logic trong hợp đồng TreasureMarketplaceBuyer, cho phép kẻ tấn công mua NFT mà không cần thanh toán. Vấn đề này chủ yếu là do sự lẫn lộn giữa các token ERC-1155 và ERC-721.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3, kẻ tấn công đã lợi dụng vay chớp nhoáng để lấy được hơn 60.000 APE Coin airdrop. Lỗ hổng nằm ở hợp đồng airdrop, hợp đồng chỉ kiểm tra quyền sở hữu tạm thời của người dùng đối với NFT, và điều này có thể bị thao túng thông qua vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3, Revest Finance đã bị tấn công, thiệt hại khoảng 120.000 USD. Đây là một cuộc tấn công điển hình của ERC-1155 do lỗi logic trong hợp đồng khi đúc FNFT mới.
dự án NBA tấn công
Vào ngày 21 tháng 4, dự án NBA đã bị tấn công. Vấn đề nằm ở cơ chế kiểm tra chữ ký của xác thực danh sách trắng, có lỗ hổng về việc giả mạo và tái sử dụng chữ ký.
Akutar sự kiện
Vào ngày 23 tháng 4, lỗ hổng hợp đồng thông minh của dự án Akutar đã dẫn đến việc khoảng 34 triệu đô la tài sản bị khóa. Điều này là do hàm hoàn tiền trong hợp đồng có lỗi logic, không xem xét đến khả năng người dùng có thể đặt thầu nhiều NFT.
Sự kiện XCarnival
Vào ngày 24 tháng 6, XCarnival bị tấn công, thiệt hại khoảng 3,8 triệu đô la. Lỗ hổng nằm ở chức năng staking và cho vay trong hợp đồng XNFT không có các kiểm tra an toàn cần thiết.
Các câu hỏi thường gặp về kiểm toán hợp đồng NFT
Ký tên giả mạo và tái sử dụng:
Thiếu xác thực thực thi lặp lại
Kiểm tra chữ ký không hợp lý
Lỗ hổng logic:
Kiểm soát tổng lượng coin không đúng cách
Thứ tự giao dịch trong quá trình đấu giá phụ thuộc vào cuộc tấn công
Tấn công tái nhập ERC721 & ERC1155:
Chức năng thông báo chuyển khoản có thể dẫn đến việc gọi lại
Phạm vi ủy quyền quá lớn:
Quyền truy cập toàn cầu không cần thiết có thể dẫn đến việc NFT bị đánh cắp
Kiểm soát giá:
Giá NFT phụ thuộc vào các yếu tố bên ngoài, dễ bị thao túng
Sự tồn tại của những vấn đề an ninh này nhấn mạnh tầm quan trọng của việc thực hiện kiểm toán chuyên nghiệp toàn diện đối với hợp đồng NFT. Các bên dự án nên coi trọng an ninh hợp đồng, thông qua kiểm toán an ninh chuyên nghiệp để tránh rủi ro tiềm ẩn và bảo vệ an toàn tài sản của người dùng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
3
Chia sẻ
Bình luận
0/400
FloorPriceWatcher
· 08-01 15:54
Hứ hứ, còn phải dẫm vào cái hố giống nhau bao lâu nữa?
Sự kiện an toàn hợp đồng NFT xảy ra thường xuyên, sáu điểm chính trong kiểm toán để phòng ngừa rủi ro
Phân tích vấn đề an toàn hợp đồng NFT và những điểm cần kiểm tra
Trong nửa đầu năm 2022, lĩnh vực NFT đã xảy ra nhiều sự kiện an ninh nghiêm trọng, gây thiệt hại khoảng 64,9 triệu đô la Mỹ. Những sự kiện này chủ yếu liên quan đến việc khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và tấn công lừa đảo. Đáng chú ý là các sự kiện lừa đảo trên nền tảng Discord hầu như diễn ra hàng ngày, dẫn đến nhiều người dùng cá nhân chịu thiệt hại.
Phân tích sự kiện an toàn điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị tấn công, hơn 100 NFT đã bị đánh cắp. Lỗ hổng xuất phát từ lỗi logic trong hợp đồng TreasureMarketplaceBuyer, cho phép kẻ tấn công mua NFT mà không cần thanh toán. Vấn đề này chủ yếu là do sự lẫn lộn giữa các token ERC-1155 và ERC-721.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3, kẻ tấn công đã lợi dụng vay chớp nhoáng để lấy được hơn 60.000 APE Coin airdrop. Lỗ hổng nằm ở hợp đồng airdrop, hợp đồng chỉ kiểm tra quyền sở hữu tạm thời của người dùng đối với NFT, và điều này có thể bị thao túng thông qua vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3, Revest Finance đã bị tấn công, thiệt hại khoảng 120.000 USD. Đây là một cuộc tấn công điển hình của ERC-1155 do lỗi logic trong hợp đồng khi đúc FNFT mới.
dự án NBA tấn công
Vào ngày 21 tháng 4, dự án NBA đã bị tấn công. Vấn đề nằm ở cơ chế kiểm tra chữ ký của xác thực danh sách trắng, có lỗ hổng về việc giả mạo và tái sử dụng chữ ký.
Akutar sự kiện
Vào ngày 23 tháng 4, lỗ hổng hợp đồng thông minh của dự án Akutar đã dẫn đến việc khoảng 34 triệu đô la tài sản bị khóa. Điều này là do hàm hoàn tiền trong hợp đồng có lỗi logic, không xem xét đến khả năng người dùng có thể đặt thầu nhiều NFT.
Sự kiện XCarnival
Vào ngày 24 tháng 6, XCarnival bị tấn công, thiệt hại khoảng 3,8 triệu đô la. Lỗ hổng nằm ở chức năng staking và cho vay trong hợp đồng XNFT không có các kiểm tra an toàn cần thiết.
Các câu hỏi thường gặp về kiểm toán hợp đồng NFT
Ký tên giả mạo và tái sử dụng:
Lỗ hổng logic:
Tấn công tái nhập ERC721 & ERC1155:
Phạm vi ủy quyền quá lớn:
Kiểm soát giá:
Sự tồn tại của những vấn đề an ninh này nhấn mạnh tầm quan trọng của việc thực hiện kiểm toán chuyên nghiệp toàn diện đối với hợp đồng NFT. Các bên dự án nên coi trọng an ninh hợp đồng, thông qua kiểm toán an ninh chuyên nghiệp để tránh rủi ro tiềm ẩn và bảo vệ an toàn tài sản của người dùng.