Analisis Keamanan Kontrak NFT: Tinjauan Peristiwa Paruh Pertama 2022 dan Diskusi Masalah Umum
Pada paruh pertama tahun 2022, situasi keamanan di bidang NFT sangat serius. Data menunjukkan bahwa terdapat 10 kejadian keamanan utama yang menyebabkan kerugian sekitar 64,9 juta dolar. Metode serangan terutama mencakup eksploitasi celah kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa serangan phishing di platform Discord terjadi hampir setiap hari, mengakibatkan pengguna individu sering mengalami kerugian.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret, platform perdagangan TreasureDAO diserang, lebih dari 100 NFT dicuri. Penyebabnya adalah celah logika yang disebabkan oleh pencampuran token ERC-1155 dan ERC-721. Kontrak tidak membedakan jenis token saat memproses pembelian token, sehingga penyerang dapat memanfaatkan token ERC-20 untuk membeli NFT tanpa biaya.
APE Coin airdrop event
Pada 17 Maret, hacker mendapatkan lebih dari 60.000 APE Coin airdrop melalui pinjaman kilat. Kerentanan berasal dari kontrak airdrop yang menggunakan penilaian status instan untuk menentukan kepemilikan NFT, yang dapat dimanipulasi oleh pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret, Revest Finance diserang, kehilangan 120.000 USD. Ini adalah serangan ulang yang khas pada ERC-1155, karena kontrak tidak menangani urutan pembaruan status dengan benar saat mencetak FNFT baru.
NBA mencuri kesempatan
Pada 21 April, proyek NBA mengalami serangan. Masalah terletak pada mekanisme tanda tangan verifikasi daftar putih, yang memiliki dua kerentanan utama yaitu penyalahgunaan dan penggunaan kembali tanda tangan.
Akutar事件
Pada 23 April, proyek Akutar terkunci 11539 ETH (sekitar 34 juta USD) karena celah kontrak. Masalah utama termasuk cacat desain fungsi pengembalian dana dan tidak mempertimbangkan situasi di mana pengguna melakukan tawaran beberapa kali.
Peristiwa XCarnival
Pada 24 Juni, XCarnival diserang, kehilangan 3087 ETH (sekitar 3,8 juta dolar AS). Kerentanannya terletak pada tidak memverifikasi keabsahan alamat xToken saat mempertaruhkan NFT, dan tidak memeriksa status catatan jaminan saat meminjam.
Masalah Keamanan Umum pada Kontrak NFT
Penandatanganan yang disalahgunakan dan digunakan kembali:
Kurang verifikasi eksekusi berulang
Logika pemeriksaan tanda tangan tidak ketat
Celah logika:
Pengendalian total jumlah koin yang tidak tepat
Urutan transaksi dalam proses lelang tergantung pada serangan
Serangan reentrancy ERC721/ERC1155:
Fitur pemberitahuan transfer dapat menyebabkan reentrancy
Lingkup otorisasi terlalu besar:
Otorisasi global yang tidak perlu meningkatkan risiko pencurian NFT
Manipulasi harga:
Harga NFT tergantung pada faktor eksternal, mudah dipengaruhi oleh metode seperti pinjaman kilat.
Mengingat kompleksitas dan potensi risiko kontrak NFT, sangat penting untuk mencari perusahaan keamanan profesional untuk melakukan audit menyeluruh guna mencegah kemungkinan risiko keamanan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Suka
Hadiah
10
3
Bagikan
Komentar
0/400
PumpStrategist
· 07-31 16:38
Kasus Rekt tipikal yang dimainkan untuk suckers, tidak melihat konsentrasi chip pada posisi tinggi.
Lihat AsliBalas0
ConsensusDissenter
· 07-31 16:17
64,9 juta dolar dicuri, sungguh konyol
Lihat AsliBalas0
MemeKingNFT
· 07-31 16:09
Di antara naik turunnya daratan, para suckers merasa hancur hati. Merindukan kesederhanaan di awal bull run.
Analisis Risiko Keamanan Kontrak NFT: Pelajaran di Balik Kerugian 64,9 Juta Dolar AS pada Paruh Pertama 2022
Analisis Keamanan Kontrak NFT: Tinjauan Peristiwa Paruh Pertama 2022 dan Diskusi Masalah Umum
Pada paruh pertama tahun 2022, situasi keamanan di bidang NFT sangat serius. Data menunjukkan bahwa terdapat 10 kejadian keamanan utama yang menyebabkan kerugian sekitar 64,9 juta dolar. Metode serangan terutama mencakup eksploitasi celah kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa serangan phishing di platform Discord terjadi hampir setiap hari, mengakibatkan pengguna individu sering mengalami kerugian.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret, platform perdagangan TreasureDAO diserang, lebih dari 100 NFT dicuri. Penyebabnya adalah celah logika yang disebabkan oleh pencampuran token ERC-1155 dan ERC-721. Kontrak tidak membedakan jenis token saat memproses pembelian token, sehingga penyerang dapat memanfaatkan token ERC-20 untuk membeli NFT tanpa biaya.
APE Coin airdrop event
Pada 17 Maret, hacker mendapatkan lebih dari 60.000 APE Coin airdrop melalui pinjaman kilat. Kerentanan berasal dari kontrak airdrop yang menggunakan penilaian status instan untuk menentukan kepemilikan NFT, yang dapat dimanipulasi oleh pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret, Revest Finance diserang, kehilangan 120.000 USD. Ini adalah serangan ulang yang khas pada ERC-1155, karena kontrak tidak menangani urutan pembaruan status dengan benar saat mencetak FNFT baru.
NBA mencuri kesempatan
Pada 21 April, proyek NBA mengalami serangan. Masalah terletak pada mekanisme tanda tangan verifikasi daftar putih, yang memiliki dua kerentanan utama yaitu penyalahgunaan dan penggunaan kembali tanda tangan.
Akutar事件
Pada 23 April, proyek Akutar terkunci 11539 ETH (sekitar 34 juta USD) karena celah kontrak. Masalah utama termasuk cacat desain fungsi pengembalian dana dan tidak mempertimbangkan situasi di mana pengguna melakukan tawaran beberapa kali.
Peristiwa XCarnival
Pada 24 Juni, XCarnival diserang, kehilangan 3087 ETH (sekitar 3,8 juta dolar AS). Kerentanannya terletak pada tidak memverifikasi keabsahan alamat xToken saat mempertaruhkan NFT, dan tidak memeriksa status catatan jaminan saat meminjam.
Masalah Keamanan Umum pada Kontrak NFT
Penandatanganan yang disalahgunakan dan digunakan kembali:
Celah logika:
Serangan reentrancy ERC721/ERC1155:
Lingkup otorisasi terlalu besar:
Manipulasi harga:
Mengingat kompleksitas dan potensi risiko kontrak NFT, sangat penting untuk mencari perusahaan keamanan profesional untuk melakukan audit menyeluruh guna mencegah kemungkinan risiko keamanan.