An toàn hợp đồng NFT: Tổng quan sự kiện nửa đầu năm 2022 và phân tích các vấn đề thường gặp trong kiểm toán
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra tổn thất kinh tế lớn. Theo dữ liệu từ nền tảng giám sát, đã xảy ra tổng cộng 10 sự kiện an ninh chính, với tổn thất khoảng 6.490.000 USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đồng thời, sự kiện lừa đảo trên Discord gần như xảy ra hàng ngày, người dùng cá nhân thường xuyên phải chịu tổn thất.
Tổng quan về các sự kiện an ninh điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi tin tặc, hơn 100 NFT đã bị đánh cắp. Lỗ hổng xuất phát từ logic lộn xộn của hàm buyItem trong hợp đồng TreasureMarketplaceBuyer, không kiểm tra loại token mà đã trực tiếp tính giá, dẫn đến việc có thể mua NFT bằng 0 token ERC-20. Điều này phản ánh các vấn đề logic có thể phát sinh khi sử dụng đồng thời token ERC-1155 và ERC-721.
sự kiện airdrop APE Coin
Ngày 17 tháng 3 năm 2022, hacker đã sử dụng vay chớp nhoáng để nhận hơn 60.000 APE Coin airdrop. Hợp đồng airdrop GrapesToken chỉ dựa vào balanceOf() để xác định quyền sở hữu NFT, và cách này dễ bị thao túng bởi vay chớp nhoáng.
Sự kiện Revest Finance
Ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công, thiệt hại 120.000 đô la. Lỗ hổng xuất phát từ cuộc tấn công tái nhập ERC-1155, hợp đồng khi đúc FNFT mới không kiểm tra xem đã tồn tại hay chưa, và biến trạng thái tự tăng sau _mint(), dẫn đến lỗ hổng tái nhập.
Sự kiện lừa đảo NBA
Ngày 21 tháng 4 năm 2022, dự án NBA bị tấn công. Hợp đồng The_Association_Sales gặp vấn đề giả mạo và tái sử dụng chữ ký khi xác thực danh sách trắng, không lưu trữ chữ ký đã sử dụng và không kiểm tra msg.sender khi truyền tham số.
Sự kiện Akutar
Ngày 23 tháng 4 năm 2022, hợp đồng AkuAuction của dự án Akutar bị lỗi, dẫn đến 11.5 nghìn ETH bị khóa. Chủ yếu có hai vấn đề logic: hàm hoàn tiền có thể bị ngắt quãng một cách độc hại; không xem xét trường hợp người dùng đấu thầu nhiều lần dẫn đến việc hoàn tiền không thể thực hiện.
Sự kiện XCarnival
Ngày 24 tháng 6 năm 2022, XCarnival bị tấn công gây thiệt hại 3087ETH. Hợp đồng XNFT không kiểm tra địa chỉ xToken khi đặt cọc NFT, và không kiểm tra trạng thái ghi chép thế chấp khi vay, dẫn đến việc kẻ tấn công có thể sử dụng thế chấp không hợp lệ để vay nhiều lần.
Câu hỏi thường gặp về kiểm toán hợp đồng NFT
Lạm dụng và tái sử dụng chữ ký: thiếu kiểm tra thực hiện lặp lại; kiểm tra chữ ký không hợp lý.
Lỗ hổng logic: Quản trị viên có thể vượt qua giới hạn tổng lượng để đúc tiền; có sự tấn công phụ thuộc vào thứ tự giao dịch trong quá trình đấu giá.
Tấn công tái nhập ERC721/ERC1155: Việc sử dụng chức năng thông báo chuyển khoản có thể dẫn đến tái nhập.
Phạm vi ủy quyền quá lớn: yêu cầu ủy quyền toàn cầu thay vì ủy quyền cho từng token, tăng nguy cơ NFT bị đánh cắp.
Kiểm soát giá: Giá NFT phụ thuộc vào số lượng nắm giữ token của hợp đồng nào đó, có thể bị thao túng bằng vay chớp nhoáng.
Tổng thể mà nói, các sự kiện an toàn hợp đồng NFT xảy ra thường xuyên phản ánh tầm quan trọng của việc kiểm toán an toàn chuyên nghiệp. Các bên dự án nên chú trọng đến an toàn hợp đồng, tìm kiếm kiểm toán chuyên nghiệp để phòng ngừa rủi ro tiềm ẩn.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
14 thích
Phần thưởng
14
6
Đăng lại
Chia sẻ
Bình luận
0/400
CommunitySlacker
· 8giờ trước
Lỗ hổng hợp đồng thật sự có thể kiếm được nhiều lợi nhuận như vậy.
Xem bản gốcTrả lời0
OnChainDetective
· 8giờ trước
một ngày nữa, một vụ hack nữa... phân tích mẫu cho thấy 90% do những sai sót cơ bản trong hợp đồng thật là đáng tiếc
Xem bản gốcTrả lời0
NotFinancialAdviser
· 8giờ trước
Suýt nữa mất cả quần, hãy đầu tư cẩn thận
Xem bản gốcTrả lời0
RebaseVictim
· 8giờ trước
Blockchain được chơi cho Suckers nhà đầu tư lớn Có tiền vẫn phải theo NFT
Xem bản gốcTrả lời0
ImpermanentLossFan
· 8giờ trước
Sáu mươi triệu đô la à, lại kiếm được một lần nữa, thật tệ.
Xem bản gốcTrả lời0
ApyWhisperer
· 8giờ trước
Lại thấy lỗ hổng hợp đồng thông minh, thật đáng tiếc.
Lỗ hổng hợp đồng NFT xảy ra thường xuyên, thiệt hại 64,9 triệu đô la trong nửa đầu năm 2022
An toàn hợp đồng NFT: Tổng quan sự kiện nửa đầu năm 2022 và phân tích các vấn đề thường gặp trong kiểm toán
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra tổn thất kinh tế lớn. Theo dữ liệu từ nền tảng giám sát, đã xảy ra tổng cộng 10 sự kiện an ninh chính, với tổn thất khoảng 6.490.000 USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đồng thời, sự kiện lừa đảo trên Discord gần như xảy ra hàng ngày, người dùng cá nhân thường xuyên phải chịu tổn thất.
Tổng quan về các sự kiện an ninh điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi tin tặc, hơn 100 NFT đã bị đánh cắp. Lỗ hổng xuất phát từ logic lộn xộn của hàm buyItem trong hợp đồng TreasureMarketplaceBuyer, không kiểm tra loại token mà đã trực tiếp tính giá, dẫn đến việc có thể mua NFT bằng 0 token ERC-20. Điều này phản ánh các vấn đề logic có thể phát sinh khi sử dụng đồng thời token ERC-1155 và ERC-721.
sự kiện airdrop APE Coin
Ngày 17 tháng 3 năm 2022, hacker đã sử dụng vay chớp nhoáng để nhận hơn 60.000 APE Coin airdrop. Hợp đồng airdrop GrapesToken chỉ dựa vào balanceOf() để xác định quyền sở hữu NFT, và cách này dễ bị thao túng bởi vay chớp nhoáng.
Sự kiện Revest Finance
Ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công, thiệt hại 120.000 đô la. Lỗ hổng xuất phát từ cuộc tấn công tái nhập ERC-1155, hợp đồng khi đúc FNFT mới không kiểm tra xem đã tồn tại hay chưa, và biến trạng thái tự tăng sau _mint(), dẫn đến lỗ hổng tái nhập.
Sự kiện lừa đảo NBA
Ngày 21 tháng 4 năm 2022, dự án NBA bị tấn công. Hợp đồng The_Association_Sales gặp vấn đề giả mạo và tái sử dụng chữ ký khi xác thực danh sách trắng, không lưu trữ chữ ký đã sử dụng và không kiểm tra msg.sender khi truyền tham số.
Sự kiện Akutar
Ngày 23 tháng 4 năm 2022, hợp đồng AkuAuction của dự án Akutar bị lỗi, dẫn đến 11.5 nghìn ETH bị khóa. Chủ yếu có hai vấn đề logic: hàm hoàn tiền có thể bị ngắt quãng một cách độc hại; không xem xét trường hợp người dùng đấu thầu nhiều lần dẫn đến việc hoàn tiền không thể thực hiện.
Sự kiện XCarnival
Ngày 24 tháng 6 năm 2022, XCarnival bị tấn công gây thiệt hại 3087ETH. Hợp đồng XNFT không kiểm tra địa chỉ xToken khi đặt cọc NFT, và không kiểm tra trạng thái ghi chép thế chấp khi vay, dẫn đến việc kẻ tấn công có thể sử dụng thế chấp không hợp lệ để vay nhiều lần.
Câu hỏi thường gặp về kiểm toán hợp đồng NFT
Lạm dụng và tái sử dụng chữ ký: thiếu kiểm tra thực hiện lặp lại; kiểm tra chữ ký không hợp lý.
Lỗ hổng logic: Quản trị viên có thể vượt qua giới hạn tổng lượng để đúc tiền; có sự tấn công phụ thuộc vào thứ tự giao dịch trong quá trình đấu giá.
Tấn công tái nhập ERC721/ERC1155: Việc sử dụng chức năng thông báo chuyển khoản có thể dẫn đến tái nhập.
Phạm vi ủy quyền quá lớn: yêu cầu ủy quyền toàn cầu thay vì ủy quyền cho từng token, tăng nguy cơ NFT bị đánh cắp.
Kiểm soát giá: Giá NFT phụ thuộc vào số lượng nắm giữ token của hợp đồng nào đó, có thể bị thao túng bằng vay chớp nhoáng.
Tổng thể mà nói, các sự kiện an toàn hợp đồng NFT xảy ra thường xuyên phản ánh tầm quan trọng của việc kiểm toán an toàn chuyên nghiệp. Các bên dự án nên chú trọng đến an toàn hợp đồng, tìm kiếm kiểm toán chuyên nghiệp để phòng ngừa rủi ro tiềm ẩn.