Keamanan Kontrak NFT: Tinjauan Peristiwa dan Analisis Masalah Umum pada Paruh Pertama 2022
Pada paruh pertama tahun 2022, kejadian keamanan di bidang NFT sering terjadi, menyebabkan kerugian ekonomi yang besar. Menurut pemantauan platform data, terjadi 10 kejadian keamanan utama, dengan kerugian sekitar 64,9 juta dolar AS. Metode serangan terutama mencakup pemanfaatan celah kontrak, kebocoran kunci pribadi, dan phishing. Hal yang perlu diperhatikan adalah kejadian phishing di Discord hampir terjadi setiap hari, menyebabkan pengguna individu sering mengalami kerugian.
Tinjauan Kejadian Keamanan yang Khas
Peristiwa TreasureDAO
Pada 3 Maret, platform perdagangan TreasureDAO diserang oleh peretas, lebih dari 100 NFT dicuri. Kerentanan berasal dari kesalahan logika dalam kontrak TreasureMarketplaceBuyer, yang menghitung harga tanpa memeriksa jenis token, yang memungkinkan pembelian NFT dengan biaya nol. Peristiwa ini mengungkapkan risiko logis yang ditimbulkan oleh pencampuran token ERC-1155 dan ERC-721.
peristiwa airdrop APE Coin
Pada 17 Maret, peretas mendapatkan lebih dari 60.000 APE Coin airdrop melalui pinjaman kilat. Kerentanan kontrak airdrop AirdropGrapesToken terletak pada penilaian kepemilikan NFT hanya berdasarkan saldo saat ini, sehingga penyerang dapat meminjam NFT untuk segera mendapatkan airdrop.
Peristiwa Revest Finance
Pada tanggal 27 Maret, Revest Finance diserang, menyebabkan kerugian sebesar 120.000 USD. Kerentanan terdapat pada serangan reentrancy ERC-1155, di mana kontrak tidak memeriksa dengan cukup saat mencetak FNFT baru, yang mengakibatkan kerentanan reentrancy.
NBA mengambil keuntungan dari kejadian
Pada 21 April, proyek NBA diserang. Kontrak The_Association_Sales memiliki masalah pemalsuan dan penggunaan ulang tanda tangan saat verifikasi daftar putih, dan tidak mencatat serta memverifikasi tanda tangan yang telah digunakan.
Peristiwa Akutar
Pada 23 April, kerentanan kontrak AkuAuction proyek Akutar menyebabkan 11.5 ribu ETH (sekitar 34 juta USD) terkunci. Masalah utama termasuk fungsi pengembalian dana yang dapat terganggu secara jahat, serta tidak mempertimbangkan situasi penawaran ulang pengguna yang menyebabkan kegagalan pengembalian dana secara permanen.
Peristiwa XCarnival
Pada 24 Juni, XCarnival diserang, kehilangan 3087 ETH (sekitar 3,8 juta dolar AS). Kontrak XNFT tidak melakukan verifikasi whitelist pada alamat xToken saat mempertaruhkan NFT, dan tidak memeriksa status catatan jaminan saat meminjam, sehingga penyerang dapat menggunakan catatan jaminan yang tidak valid untuk meminjam berulang kali.
Pertanyaan Umum tentang Audit Kontrak NFT
Penyalahgunaan dan penggunaan kembali tanda tangan:
Kurang verifikasi eksekusi ulang, seperti nonce pengguna
Pemeriksaan tanda tangan tidak wajar, seperti tidak memeriksa kondisi alamat nol
Celah logika:
Pencetakan koin oleh administrator mungkin dapat melewati batas jumlah total
Ada risiko serangan ketergantungan urutan transaksi selama proses lelang
Serangan Reentrancy ERC721/ERC1155:
Fitur notifikasi transfer dapat menyebabkan serangan reentrancy
Lingkup otorisasi terlalu besar:
Meminta otorisasi berlebihan, meningkatkan risiko pencurian NFT
Manipulasi harga:
Harga NFT tergantung pada kontrak eksternal, dapat dimanipulasi oleh pinjaman kilat
Mengingat pertanyaan umum ini dan kejadian keamanan yang terjadi, audit keamanan profesional pada kontrak NFT menjadi sangat penting. Pihak proyek harus memperhatikan keamanan kontrak dan mengambil langkah-langkah perlindungan yang komprehensif untuk mengurangi risiko potensial.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
18 Suka
Hadiah
18
8
Bagikan
Komentar
0/400
WhaleWatcher
· 07-22 11:12
Kunci Pribadi lagi meledak, siapa yang berani masuk?
Lihat AsliBalas0
RetailTherapist
· 07-20 22:36
play people for suckers play people for suckers play people for suckers lebih baik pergi menyalin pekerjaan rumah beli beli beli
Lihat AsliBalas0
GreenCandleCollector
· 07-20 07:14
Kembali lagi pertunjukan besar bermain orang untuk suckers di dunia kripto
Lihat AsliBalas0
GateUser-c802f0e8
· 07-19 15:27
Kontrak ini jelas penuh dengan celah, cepat atau lambat akan tenggelam.
Lihat AsliBalas0
shadowy_supercoder
· 07-19 15:12
Audit kontrak tidak memenuhi syarat, pantas kehilangan uang.
Lihat AsliBalas0
GateUser-beba108d
· 07-19 15:12
Sekali lagi ditemukan celah proyek, di zaman ini jika berani membeli, sudah pasti kalah.
Lihat AsliBalas0
MetaNeighbor
· 07-19 15:12
Apakah orang-orang yang mengelola kontrak ini setidaknya pernah belajar pemrograman?
Masalah keamanan kontrak NFT sering terjadi, kehilangan 64,9 juta dolar AS pada paruh pertama tahun ini.
Keamanan Kontrak NFT: Tinjauan Peristiwa dan Analisis Masalah Umum pada Paruh Pertama 2022
Pada paruh pertama tahun 2022, kejadian keamanan di bidang NFT sering terjadi, menyebabkan kerugian ekonomi yang besar. Menurut pemantauan platform data, terjadi 10 kejadian keamanan utama, dengan kerugian sekitar 64,9 juta dolar AS. Metode serangan terutama mencakup pemanfaatan celah kontrak, kebocoran kunci pribadi, dan phishing. Hal yang perlu diperhatikan adalah kejadian phishing di Discord hampir terjadi setiap hari, menyebabkan pengguna individu sering mengalami kerugian.
Tinjauan Kejadian Keamanan yang Khas
Peristiwa TreasureDAO
Pada 3 Maret, platform perdagangan TreasureDAO diserang oleh peretas, lebih dari 100 NFT dicuri. Kerentanan berasal dari kesalahan logika dalam kontrak TreasureMarketplaceBuyer, yang menghitung harga tanpa memeriksa jenis token, yang memungkinkan pembelian NFT dengan biaya nol. Peristiwa ini mengungkapkan risiko logis yang ditimbulkan oleh pencampuran token ERC-1155 dan ERC-721.
peristiwa airdrop APE Coin
Pada 17 Maret, peretas mendapatkan lebih dari 60.000 APE Coin airdrop melalui pinjaman kilat. Kerentanan kontrak airdrop AirdropGrapesToken terletak pada penilaian kepemilikan NFT hanya berdasarkan saldo saat ini, sehingga penyerang dapat meminjam NFT untuk segera mendapatkan airdrop.
Peristiwa Revest Finance
Pada tanggal 27 Maret, Revest Finance diserang, menyebabkan kerugian sebesar 120.000 USD. Kerentanan terdapat pada serangan reentrancy ERC-1155, di mana kontrak tidak memeriksa dengan cukup saat mencetak FNFT baru, yang mengakibatkan kerentanan reentrancy.
NBA mengambil keuntungan dari kejadian
Pada 21 April, proyek NBA diserang. Kontrak The_Association_Sales memiliki masalah pemalsuan dan penggunaan ulang tanda tangan saat verifikasi daftar putih, dan tidak mencatat serta memverifikasi tanda tangan yang telah digunakan.
Peristiwa Akutar
Pada 23 April, kerentanan kontrak AkuAuction proyek Akutar menyebabkan 11.5 ribu ETH (sekitar 34 juta USD) terkunci. Masalah utama termasuk fungsi pengembalian dana yang dapat terganggu secara jahat, serta tidak mempertimbangkan situasi penawaran ulang pengguna yang menyebabkan kegagalan pengembalian dana secara permanen.
Peristiwa XCarnival
Pada 24 Juni, XCarnival diserang, kehilangan 3087 ETH (sekitar 3,8 juta dolar AS). Kontrak XNFT tidak melakukan verifikasi whitelist pada alamat xToken saat mempertaruhkan NFT, dan tidak memeriksa status catatan jaminan saat meminjam, sehingga penyerang dapat menggunakan catatan jaminan yang tidak valid untuk meminjam berulang kali.
Pertanyaan Umum tentang Audit Kontrak NFT
Penyalahgunaan dan penggunaan kembali tanda tangan:
Celah logika:
Serangan Reentrancy ERC721/ERC1155:
Lingkup otorisasi terlalu besar:
Manipulasi harga:
Mengingat pertanyaan umum ini dan kejadian keamanan yang terjadi, audit keamanan profesional pada kontrak NFT menjadi sangat penting. Pihak proyek harus memperhatikan keamanan kontrak dan mengambil langkah-langkah perlindungan yang komprehensif untuk mengurangi risiko potensial.