Analisis Masalah Keamanan Kontrak NFT dan Interpretasi Kasus-Kasus Tipikal
Pada paruh pertama tahun 2022, terjadi beberapa insiden keamanan di bidang NFT, yang mengakibatkan kerugian sekitar 64,9 juta dolar. Insiden-insiden ini terutama melibatkan eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan serangan phishing. Perlu dicatat bahwa insiden phishing di platform Discord sering terjadi, hampir setiap hari ada server yang diserang, yang mengakibatkan kerugian bagi pengguna individu.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang oleh hacker, mengakibatkan lebih dari 100 NFT dicuri. Penyebab utama dari insiden ini adalah adanya celah logika dalam kontrak, di mana token ERC-1155 dan ERC-721 digunakan secara campur aduk yang menyebabkan kebingungan logika. Token ERC-721 tidak memiliki konsep jumlah, tetapi kontrak justru menggunakan perhitungan jumlah untuk menentukan harga pembelian token, dan dalam implementasi transfer token tidak dilakukan pemisahan logika.
acara airdrop APE Coin
Pada 17 Maret 2022, peretas memanfaatkan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin yang dialokasikan. Kerentanan terjadi di kontrak alokasi, di mana kontrak menggunakan status instan untuk menilai kepemilikan NFT oleh pengguna, dan status ini dapat dimanipulasi melalui pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, proyek Revest Finance mengalami serangan, dengan kerugian sekitar 120.000 USD. Ini adalah contoh klasik dari serangan reentrancy ERC-1155, di mana kontrak tidak memeriksa apakah FNFT baru sudah ada saat mencetaknya, dan variabel status meningkat setelah fungsi pencetakan dieksekusi, yang mengakibatkan kerentanan reentrancy.
Peristiwa NBA Meraup Keuntungan
Pada 21 April 2022, proyek NBA diserang. Kerentanan melibatkan pemalsuan dan penggunaan ulang tanda tangan, kontrak tidak menyimpan tanda tangan yang telah digunakan, dan tidak melakukan verifikasi pengirim saat mengirim parameter.
Akutar事件
Pada 23 April 2022, proyek Akutar mengalami penguncian 11.539 ETH (sekitar 34 juta USD) akibat celah di kontrak pintar. Kontrak tersebut memiliki dua celah logika kunci: fungsi pengembalian dana dapat dihentikan secara jahat, dan situasi di mana pengguna melakukan penawaran beberapa kali tidak dipertimbangkan.
Peristiwa XCarnival
Pada 24 Juni 2022, XCarnival diserang, dan peretas mendapatkan keuntungan sebesar 3087 Ether (sekitar 3,8 juta dolar AS). Kerentanannya adalah kontrak tidak memeriksa apakah alamat xToken dari NFT yang dipertaruhkan ada dalam daftar putih, dan tidak melakukan pemeriksaan terhadap status catatan jaminan saat peminjaman.
Masalah Keamanan Umum pada Kontrak NFT
Penandatanganan yang disalahgunakan dan digunakan kembali:
Kurang verifikasi eksekusi ulang
Pemeriksaan tanda tangan tidak wajar
Celah logika:
Pengendalian total jumlah koin yang tidak tepat
Urutan transaksi dalam proses lelang bergantung pada serangan
Serangan reentrancy ERC721/ERC1155:
Fitur notifikasi transfer mungkin menyebabkan reentrancy
Ruang lingkup otorisasi terlalu besar:
Otorisasi global yang tidak perlu dapat menyebabkan NFT dicuri
Manipulasi harga:
Harga NFT bergantung pada faktor yang dapat dimanipulasi
Mengingat risiko keamanan ini, melakukan audit keamanan profesional pada kontrak NFT sangat penting untuk secara efektif mencegah potensi serangan dan kerentanan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
14 Suka
Hadiah
14
6
Posting ulang
Bagikan
Komentar
0/400
SnapshotStriker
· 21jam yang lalu
Lebih baik bermain di cex lebih aman
Lihat AsliBalas0
0xOverleveraged
· 08-08 17:18
Hari lain santai melihat Discord dan Kupon Klip
Lihat AsliBalas0
AlphaLeaker
· 08-08 16:39
Dengan perisai di tangan, apa yang perlu ditakuti dari serangan?
Lihat AsliBalas0
MindsetExpander
· 08-08 16:39
Jangan melakukan jebakan yang berlebihan, memahami kontrak itulah kemampuan yang sebenarnya.
Analisis Risiko Keamanan Kontrak NFT: Kasus Khas dan Langkah Pencegahan
Analisis Masalah Keamanan Kontrak NFT dan Interpretasi Kasus-Kasus Tipikal
Pada paruh pertama tahun 2022, terjadi beberapa insiden keamanan di bidang NFT, yang mengakibatkan kerugian sekitar 64,9 juta dolar. Insiden-insiden ini terutama melibatkan eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan serangan phishing. Perlu dicatat bahwa insiden phishing di platform Discord sering terjadi, hampir setiap hari ada server yang diserang, yang mengakibatkan kerugian bagi pengguna individu.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang oleh hacker, mengakibatkan lebih dari 100 NFT dicuri. Penyebab utama dari insiden ini adalah adanya celah logika dalam kontrak, di mana token ERC-1155 dan ERC-721 digunakan secara campur aduk yang menyebabkan kebingungan logika. Token ERC-721 tidak memiliki konsep jumlah, tetapi kontrak justru menggunakan perhitungan jumlah untuk menentukan harga pembelian token, dan dalam implementasi transfer token tidak dilakukan pemisahan logika.
acara airdrop APE Coin
Pada 17 Maret 2022, peretas memanfaatkan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin yang dialokasikan. Kerentanan terjadi di kontrak alokasi, di mana kontrak menggunakan status instan untuk menilai kepemilikan NFT oleh pengguna, dan status ini dapat dimanipulasi melalui pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, proyek Revest Finance mengalami serangan, dengan kerugian sekitar 120.000 USD. Ini adalah contoh klasik dari serangan reentrancy ERC-1155, di mana kontrak tidak memeriksa apakah FNFT baru sudah ada saat mencetaknya, dan variabel status meningkat setelah fungsi pencetakan dieksekusi, yang mengakibatkan kerentanan reentrancy.
Peristiwa NBA Meraup Keuntungan
Pada 21 April 2022, proyek NBA diserang. Kerentanan melibatkan pemalsuan dan penggunaan ulang tanda tangan, kontrak tidak menyimpan tanda tangan yang telah digunakan, dan tidak melakukan verifikasi pengirim saat mengirim parameter.
Akutar事件
Pada 23 April 2022, proyek Akutar mengalami penguncian 11.539 ETH (sekitar 34 juta USD) akibat celah di kontrak pintar. Kontrak tersebut memiliki dua celah logika kunci: fungsi pengembalian dana dapat dihentikan secara jahat, dan situasi di mana pengguna melakukan penawaran beberapa kali tidak dipertimbangkan.
Peristiwa XCarnival
Pada 24 Juni 2022, XCarnival diserang, dan peretas mendapatkan keuntungan sebesar 3087 Ether (sekitar 3,8 juta dolar AS). Kerentanannya adalah kontrak tidak memeriksa apakah alamat xToken dari NFT yang dipertaruhkan ada dalam daftar putih, dan tidak melakukan pemeriksaan terhadap status catatan jaminan saat peminjaman.
Masalah Keamanan Umum pada Kontrak NFT
Penandatanganan yang disalahgunakan dan digunakan kembali:
Celah logika:
Serangan reentrancy ERC721/ERC1155:
Ruang lingkup otorisasi terlalu besar:
Manipulasi harga:
Mengingat risiko keamanan ini, melakukan audit keamanan profesional pada kontrak NFT sangat penting untuk secara efektif mencegah potensi serangan dan kerentanan.