Audit Keamanan Kontrak NFT: Pertanyaan Umum dan Analisis Kasus Tipikal
Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT sering terjadi, menyebabkan kerugian ekonomi yang besar. Menurut pemantauan platform data, terdapat 10 insiden keamanan utama yang terjadi, dengan kerugian sekitar 64,9 juta dolar AS. Metode serangan utamanya termasuk eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa serangan phishing di platform Discord hampir terjadi setiap hari, mengakibatkan pengguna individu sering mengalami kerugian.
Analisis Kejadian Keamanan NFT yang Khas di Semester Pertama
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang oleh peretas, mengakibatkan lebih dari 100 NFT dicuri. Akar peristiwa ini adalah celah logika dalam kontrak, di mana penggunaan campuran token ERC-1155 dan ERC-721 menyebabkan kebingungan logika. Kontrak secara keliru menggunakan konsep jumlah token ERC-721 saat menghitung harga beli token, dan tidak melakukan pemisahan logika dalam implementasi transfer token.
Peristiwa airdrop APE Coin
Pada 17 Maret 2022, hacker memanfaatkan pinjaman kilat untuk mendapatkan lebih dari 60.000 airdrop APE Coin. Kerentanan ini terdapat pada kontrak airdrop, yang hanya memeriksa kepemilikan NFT melalui instant balance, dan kondisi ini dapat dimanipulasi oleh pinjaman kilat.
Peristiwa Revest Finance
Pada tanggal 27 Maret 2022, Revest Finance mengalami serangan hacker, dengan kerugian sekitar 120.000 dolar AS. Penyebabnya adalah kerentanan reentrancy ERC-1155, di mana kontrak tidak memeriksa apakah FNFT baru sudah ada saat mencetak, dan variabel status meningkat setelah fungsi mint, menyebabkan kemungkinan serangan reentrancy.
proyek acara NBA NFT
Pada 21 April 2022, proyek NFT terkait NBA diserang. Masalah terletak pada tahap verifikasi tanda tangan pada whitelist, terdapat dua risiko keamanan yaitu penyalahgunaan dan penggunaan kembali tanda tangan. Kontrak tidak menyimpan tanda tangan yang telah digunakan, dan saat mengirim parameter tidak memverifikasi msg.sender.
Peristiwa Akutar
Pada 23 April 2022, proyek Akutar mengalami kunci sebesar 11.5 ribu ETH( sekitar 34 juta USD) akibat kerentanan kontrak. Terdapat dua masalah logika utama: fungsi pengembalian dana dapat terganggu secara jahat; tidak mempertimbangkan situasi di mana pengguna melakukan penawaran berulang kali yang menyebabkan pengembalian dana tidak pernah dapat dieksekusi.
Peristiwa XCarnival
Pada tanggal 24 Juni 2022, protokol pinjaman NFT XCarnival diserang, dengan kerugian sekitar 3,8 juta dolar AS. Kerentanan terletak pada ketidakverifikasian alamat xToken saat melakukan staking NFT, dan tidak memeriksa status catatan agunan saat meminjam, sehingga penyerang dapat menggunakan agunan yang tidak valid secara berulang untuk melakukan pinjaman.
Pertanyaan Umum tentang Audit Kontrak NFT
Penyalahgunaan dan penggunaan ulang tanda tangan:
Kurang verifikasi eksekusi berulang, seperti nonce pengguna
Pemeriksaan tanda tangan tidak ketat, seperti tidak memeriksa kasus alamat nol
Celah logika:
Metode pencetakan khusus untuk menghindari batasan jumlah total
Ada risiko serangan ketergantungan urutan transaksi saat lelang
Serangan Reentrancy ERC721/ERC1155:
Fitur pemberitahuan transfer dapat memicu reentrancy
Ruang lingkup otorisasi terlalu besar:
Meminta otorisasi global alih-alih otorisasi token tunggal
Manipulasi harga:
Harga NFT tergantung pada status kontrak eksternal, mudah dimanipulasi oleh pinjaman kilat
Mengingat seringnya kejadian keamanan kontrak NFT, dan kerentanan umum yang ditemukan selama audit sering kali sangat sesuai dengan serangan yang sebenarnya, pihak proyek harus memperhatikan keamanan kontrak, mencari layanan audit profesional, untuk mengurangi risiko keamanan.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
11 Suka
Hadiah
11
3
Bagikan
Komentar
0/400
MevHunter
· 11jam yang lalu
Mengikuti pelacakan MEV dari ETH, Bot yang mencari di hutan gelap setiap hari.
Lihat AsliBalas0
GlueGuy
· 07-30 14:33
Blockchain masalah masih sedikit? Lihat saja.
Lihat AsliBalas0
MEV_Whisperer
· 07-29 16:53
Ya ampun, sekali lagi sekelompok suckers dipermainkan.
Kejadian keamanan kontrak NFT sering terjadi, enam kasus tipikal dan analisis kerentanan umum.
Audit Keamanan Kontrak NFT: Pertanyaan Umum dan Analisis Kasus Tipikal
Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT sering terjadi, menyebabkan kerugian ekonomi yang besar. Menurut pemantauan platform data, terdapat 10 insiden keamanan utama yang terjadi, dengan kerugian sekitar 64,9 juta dolar AS. Metode serangan utamanya termasuk eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa serangan phishing di platform Discord hampir terjadi setiap hari, mengakibatkan pengguna individu sering mengalami kerugian.
Analisis Kejadian Keamanan NFT yang Khas di Semester Pertama
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang oleh peretas, mengakibatkan lebih dari 100 NFT dicuri. Akar peristiwa ini adalah celah logika dalam kontrak, di mana penggunaan campuran token ERC-1155 dan ERC-721 menyebabkan kebingungan logika. Kontrak secara keliru menggunakan konsep jumlah token ERC-721 saat menghitung harga beli token, dan tidak melakukan pemisahan logika dalam implementasi transfer token.
Peristiwa airdrop APE Coin
Pada 17 Maret 2022, hacker memanfaatkan pinjaman kilat untuk mendapatkan lebih dari 60.000 airdrop APE Coin. Kerentanan ini terdapat pada kontrak airdrop, yang hanya memeriksa kepemilikan NFT melalui instant balance, dan kondisi ini dapat dimanipulasi oleh pinjaman kilat.
Peristiwa Revest Finance
Pada tanggal 27 Maret 2022, Revest Finance mengalami serangan hacker, dengan kerugian sekitar 120.000 dolar AS. Penyebabnya adalah kerentanan reentrancy ERC-1155, di mana kontrak tidak memeriksa apakah FNFT baru sudah ada saat mencetak, dan variabel status meningkat setelah fungsi mint, menyebabkan kemungkinan serangan reentrancy.
proyek acara NBA NFT
Pada 21 April 2022, proyek NFT terkait NBA diserang. Masalah terletak pada tahap verifikasi tanda tangan pada whitelist, terdapat dua risiko keamanan yaitu penyalahgunaan dan penggunaan kembali tanda tangan. Kontrak tidak menyimpan tanda tangan yang telah digunakan, dan saat mengirim parameter tidak memverifikasi msg.sender.
Peristiwa Akutar
Pada 23 April 2022, proyek Akutar mengalami kunci sebesar 11.5 ribu ETH( sekitar 34 juta USD) akibat kerentanan kontrak. Terdapat dua masalah logika utama: fungsi pengembalian dana dapat terganggu secara jahat; tidak mempertimbangkan situasi di mana pengguna melakukan penawaran berulang kali yang menyebabkan pengembalian dana tidak pernah dapat dieksekusi.
Peristiwa XCarnival
Pada tanggal 24 Juni 2022, protokol pinjaman NFT XCarnival diserang, dengan kerugian sekitar 3,8 juta dolar AS. Kerentanan terletak pada ketidakverifikasian alamat xToken saat melakukan staking NFT, dan tidak memeriksa status catatan agunan saat meminjam, sehingga penyerang dapat menggunakan agunan yang tidak valid secara berulang untuk melakukan pinjaman.
Pertanyaan Umum tentang Audit Kontrak NFT
Penyalahgunaan dan penggunaan ulang tanda tangan:
Celah logika:
Serangan Reentrancy ERC721/ERC1155:
Ruang lingkup otorisasi terlalu besar:
Manipulasi harga:
Mengingat seringnya kejadian keamanan kontrak NFT, dan kerentanan umum yang ditemukan selama audit sering kali sangat sesuai dengan serangan yang sebenarnya, pihak proyek harus memperhatikan keamanan kontrak, mencari layanan audit profesional, untuk mengurangi risiko keamanan.