Phân tích vấn đề an ninh hợp đồng NFT và giải thích các trường hợp điển hình
Trong nửa đầu năm 2022, lĩnh vực NFT đã xảy ra nhiều sự cố an ninh, gây thiệt hại khoảng 64,9 triệu USD. Những sự cố này chủ yếu liên quan đến việc khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và tấn công lừa đảo. Đáng chú ý, các sự kiện lừa đảo trên nền tảng Discord xảy ra thường xuyên, gần như hàng ngày có các máy chủ bị tấn công, dẫn đến việc người dùng cá nhân thường xuyên bị thiệt hại.
Phân tích sự kiện an ninh điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, dẫn đến việc hơn 100 NFT bị đánh cắp. Nguyên nhân cơ bản của sự cố này là do hợp đồng có lỗ hổng logic, việc sử dụng lẫn lộn token ERC-1155 và ERC-721 dẫn đến sự hỗn loạn trong logic. Token ERC-721 không có khái niệm số lượng, nhưng hợp đồng lại sử dụng số lượng để tính giá mua token, và trong việc thực hiện chuyển nhượng token không có sự phân tách logic.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, hacker đã sử dụng khoản vay chớp nhoáng để lấy hơn 60.000 APE Coin từ airdrop. Lỗi xảy ra trong hợp đồng airdrop, hợp đồng này sử dụng trạng thái tức thời để xác định quyền sở hữu NFT của người dùng, và trạng thái này có thể bị thao túng thông qua khoản vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3 năm 2022, dự án Revest Finance đã bị tấn công, thiệt hại khoảng 120.000 đô la. Đây là một cuộc tấn công điển hình của lỗ hổng tái nhập ERC-1155, hợp đồng không kiểm tra xem FNFT mới đã tồn tại hay chưa khi tạo ra, và biến trạng thái tự tăng được thực hiện sau hàm tạo, dẫn đến lỗ hổng tái nhập.
Sự kiện NBA hái cỏ
Vào ngày 21 tháng 4 năm 2022, dự án NBA đã bị tấn công. Lỗ hổng liên quan đến việc mạo danh và tái sử dụng chữ ký, hợp đồng không lưu trữ chữ ký đã sử dụng và không thực hiện kiểm tra người gửi khi truyền tham số.
Sự kiện Akutar
Ngày 23 tháng 4 năm 2022, dự án Akutar đã bị khóa 11.539 ETH (khoảng 34 triệu USD) do lỗ hổng hợp đồng thông minh. Hợp đồng có hai lỗ hổng logic chính: hàm hoàn tiền có thể bị ngăn chặn một cách độc hại, và không xem xét trường hợp người dùng đấu thầu nhiều lần.
Sự kiện XCarnival
Vào ngày 24 tháng 6 năm 2022, XCarnival đã bị tấn công, hacker đã thu lợi 3087 Ethereum (khoảng 3.8 triệu USD). Lỗ hổng nằm ở chỗ hợp đồng không kiểm tra địa chỉ xToken của NFT được thế chấp có nằm trong danh sách trắng hay không, và khi cho vay không kiểm tra trạng thái ghi chép thế chấp.
Các vấn đề an ninh thường gặp trong hợp đồng NFT
Lạm dụng và tái sử dụng chữ ký:
Thiếu xác thực thực thi lặp lại
Kiểm tra chữ ký không hợp lý
Lỗi logic:
Kiểm soát tổng lượng tiền đúc không đúng cách
Thứ tự giao dịch trong quá trình đấu giá phụ thuộc vào tấn công
Tấn công tái nhập ERC721/ERC1155:
Chức năng thông báo chuyển khoản có thể dẫn đến việc gọi lại
Phạm vi ủy quyền quá lớn:
Quyền truy cập toàn cầu không cần thiết có thể dẫn đến việc bị đánh cắp NFT
Kiểm soát giá:
Giá NFT phụ thuộc vào các yếu tố có thể bị thao túng
Xem xét những rủi ro an ninh này, việc tiến hành kiểm toán an ninh chuyên nghiệp đối với hợp đồng NFT là vô cùng quan trọng, có thể hiệu quả phòng ngừa các cuộc tấn công và lỗ hổng tiềm ẩn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
15 thích
Phần thưởng
15
7
Đăng lại
Chia sẻ
Bình luận
0/400
LazyDevMiner
· 4giờ trước
Lỗi hợp đồng chính là cơ hội để khai thác!
Xem bản gốcTrả lời0
SnapshotStriker
· 08-09 20:29
Còn tốt hơn là đi chơi cex an toàn hơn.
Xem bản gốcTrả lời0
0xOverleveraged
· 08-08 17:18
Một ngày nữa lướt mạng xem Discord bị Phiếu giảm giá.
Xem bản gốcTrả lời0
AlphaLeaker
· 08-08 16:39
Khi có khiên trong tay, còn sợ gì đòn tấn công.
Xem bản gốcTrả lời0
MindsetExpander
· 08-08 16:39
Đừng có làm cái bẫy hoa mỹ đó, xem hợp đồng hiểu không mới là bản lĩnh thật sự.
Xem bản gốcTrả lời0
LiquidityWitch
· 08-08 16:39
6490w đô la Mỹ...thật sự không thể tin được
Xem bản gốcTrả lời0
GasFeeThunder
· 08-08 16:38
gas phí lại sắp tăng lên rồi, xem dữ liệu đi, đợt này Rekt.
Phân tích những rủi ro an toàn của hợp đồng NFT: Các trường hợp điển hình và biện pháp phòng ngừa
Phân tích vấn đề an ninh hợp đồng NFT và giải thích các trường hợp điển hình
Trong nửa đầu năm 2022, lĩnh vực NFT đã xảy ra nhiều sự cố an ninh, gây thiệt hại khoảng 64,9 triệu USD. Những sự cố này chủ yếu liên quan đến việc khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và tấn công lừa đảo. Đáng chú ý, các sự kiện lừa đảo trên nền tảng Discord xảy ra thường xuyên, gần như hàng ngày có các máy chủ bị tấn công, dẫn đến việc người dùng cá nhân thường xuyên bị thiệt hại.
Phân tích sự kiện an ninh điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, dẫn đến việc hơn 100 NFT bị đánh cắp. Nguyên nhân cơ bản của sự cố này là do hợp đồng có lỗ hổng logic, việc sử dụng lẫn lộn token ERC-1155 và ERC-721 dẫn đến sự hỗn loạn trong logic. Token ERC-721 không có khái niệm số lượng, nhưng hợp đồng lại sử dụng số lượng để tính giá mua token, và trong việc thực hiện chuyển nhượng token không có sự phân tách logic.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, hacker đã sử dụng khoản vay chớp nhoáng để lấy hơn 60.000 APE Coin từ airdrop. Lỗi xảy ra trong hợp đồng airdrop, hợp đồng này sử dụng trạng thái tức thời để xác định quyền sở hữu NFT của người dùng, và trạng thái này có thể bị thao túng thông qua khoản vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3 năm 2022, dự án Revest Finance đã bị tấn công, thiệt hại khoảng 120.000 đô la. Đây là một cuộc tấn công điển hình của lỗ hổng tái nhập ERC-1155, hợp đồng không kiểm tra xem FNFT mới đã tồn tại hay chưa khi tạo ra, và biến trạng thái tự tăng được thực hiện sau hàm tạo, dẫn đến lỗ hổng tái nhập.
Sự kiện NBA hái cỏ
Vào ngày 21 tháng 4 năm 2022, dự án NBA đã bị tấn công. Lỗ hổng liên quan đến việc mạo danh và tái sử dụng chữ ký, hợp đồng không lưu trữ chữ ký đã sử dụng và không thực hiện kiểm tra người gửi khi truyền tham số.
Sự kiện Akutar
Ngày 23 tháng 4 năm 2022, dự án Akutar đã bị khóa 11.539 ETH (khoảng 34 triệu USD) do lỗ hổng hợp đồng thông minh. Hợp đồng có hai lỗ hổng logic chính: hàm hoàn tiền có thể bị ngăn chặn một cách độc hại, và không xem xét trường hợp người dùng đấu thầu nhiều lần.
Sự kiện XCarnival
Vào ngày 24 tháng 6 năm 2022, XCarnival đã bị tấn công, hacker đã thu lợi 3087 Ethereum (khoảng 3.8 triệu USD). Lỗ hổng nằm ở chỗ hợp đồng không kiểm tra địa chỉ xToken của NFT được thế chấp có nằm trong danh sách trắng hay không, và khi cho vay không kiểm tra trạng thái ghi chép thế chấp.
Các vấn đề an ninh thường gặp trong hợp đồng NFT
Lạm dụng và tái sử dụng chữ ký:
Lỗi logic:
Tấn công tái nhập ERC721/ERC1155:
Phạm vi ủy quyền quá lớn:
Kiểm soát giá:
Xem xét những rủi ro an ninh này, việc tiến hành kiểm toán an ninh chuyên nghiệp đối với hợp đồng NFT là vô cùng quan trọng, có thể hiệu quả phòng ngừa các cuộc tấn công và lỗ hổng tiềm ẩn.