Kiểm toán an toàn hợp đồng NFT: Các câu hỏi thường gặp và phân tích các trường hợp điển hình
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra tổn thất kinh tế lớn. Theo dữ liệu từ nền tảng giám sát, đã xảy ra tổng cộng 10 sự kiện an ninh chính, với tổn thất khoảng 6490 triệu đô la. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, các cuộc tấn công lừa đảo trên nền tảng Discord gần như xảy ra hàng ngày, khiến người dùng cá nhân thường xuyên chịu tổn thất.
Phân tích các sự kiện an ninh điển hình NFT trong nửa đầu năm
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, dẫn đến việc hơn 100 NFT bị đánh cắp. Nguyên nhân của sự kiện là do lỗ hổng logic trong hợp đồng, việc sử dụng lẫn lộn giữa token ERC-1155 và ERC-721 đã gây ra sự hỗn loạn về logic. Hợp đồng đã sử dụng sai khái niệm số lượng token ERC-721 khi tính toán giá mua token, và trong việc thực hiện chuyển nhượng token đã không tiến hành tách biệt logic.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, hacker đã sử dụng vay chớp nhoáng để nhận được hơn 60.000 APE Coin airdrop. Lỗi này tồn tại trong hợp đồng airdrop, chỉ kiểm tra quyền sở hữu NFT thông qua số dư tức thì, và trạng thái này có thể bị thao túng bởi vay chớp nhoáng.
Sự kiện Revest Finance
Ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công bởi hacker, thiệt hại khoảng 120.000 USD. Nguyên nhân là do lỗ hổng tái nhập ERC-1155, hợp đồng khi đúc FNFT mới không kiểm tra xem đã tồn tại hay chưa, và biến trạng thái tự tăng sau hàm mint, dẫn đến khả năng bị tấn công tái nhập.
sự kiện dự án NBA NFT
Ngày 21 tháng 4 năm 2022, dự án NFT liên quan đến NBA đã bị tấn công. Vấn đề nằm ở giai đoạn kiểm tra chữ ký xác thực danh sách trắng, có hai rủi ro bảo mật là chữ ký bị giả mạo và tái sử dụng. Hợp đồng không lưu chữ ký đã sử dụng và không kiểm tra msg.sender khi truyền tham số.
Sự kiện Akutar
Ngày 23 tháng 4 năm 2022, dự án Akutar đã bị khóa 1.15 vạn ETH ( khoảng 34 triệu USD ) do lỗ hổng hợp đồng. Chủ yếu có hai vấn đề logic: hàm hoàn tiền có thể bị ngắt bởi các hành vi ác ý; không xem xét tình huống người dùng đấu thầu nhiều lần dẫn đến việc hoàn tiền không bao giờ có thể thực hiện.
Sự kiện XCarnival
Ngày 24 tháng 6 năm 2022, giao thức cho vay NFT XCarnival đã bị tấn công, gây thiệt hại khoảng 3,8 triệu USD. Lỗ hổng nằm ở việc không xác minh địa chỉ xToken khi thế chấp NFT, và không kiểm tra trạng thái hồ sơ thế chấp khi vay, khiến kẻ tấn công có thể sử dụng lại tài sản thế chấp không hợp lệ để vay.
Các câu hỏi thường gặp về kiểm toán hợp đồng NFT
Ký tên giả mạo và tái sử dụng:
Thiếu xác thực thực thi lặp lại, chẳng hạn như nonce của người dùng
Kiểm tra chữ ký không nghiêm ngặt, như không kiểm tra trường hợp địa chỉ bằng không
Lỗi logic:
Phương pháp đúc tiền đặc biệt vượt qua giới hạn tổng số lượng
Có nguy cơ tấn công phụ thuộc vào thứ tự giao dịch trong quá trình đấu giá
Tấn công tái nhập ERC721/ERC1155:
Chức năng thông báo chuyển khoản có thể gây ra tái nhập
Phạm vi ủy quyền quá lớn:
Yêu cầu ủy quyền toàn cầu thay vì ủy quyền cho từng token
Kiểm soát giá:
Giá NFT phụ thuộc vào trạng thái hợp đồng bên ngoài, dễ bị thao túng bởi vay nhanh.
Vì sự kiện an toàn hợp đồng NFT xảy ra thường xuyên, và những lỗ hổng phổ biến được phát hiện trong quá trình kiểm toán thường khớp cao với các cuộc tấn công thực tế, các bên dự án nên chú trọng đến an toàn hợp đồng, tìm kiếm dịch vụ kiểm toán chuyên nghiệp để giảm thiểu rủi ro an toàn.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
2
Chia sẻ
Bình luận
0/400
GlueGuy
· 9giờ trước
Blockchain phá sự còn ít không xem mù rồi
Xem bản gốcTrả lời0
MEV_Whisperer
· 07-29 16:53
Trời ơi, lại một đợt đồ ngốc bị chơi đùa với mọi người.
Sự kiện an toàn hợp đồng NFT xảy ra thường xuyên Phân tích 6 trường hợp điển hình và các lỗ hổng phổ biến
Kiểm toán an toàn hợp đồng NFT: Các câu hỏi thường gặp và phân tích các trường hợp điển hình
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra tổn thất kinh tế lớn. Theo dữ liệu từ nền tảng giám sát, đã xảy ra tổng cộng 10 sự kiện an ninh chính, với tổn thất khoảng 6490 triệu đô la. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, các cuộc tấn công lừa đảo trên nền tảng Discord gần như xảy ra hàng ngày, khiến người dùng cá nhân thường xuyên chịu tổn thất.
Phân tích các sự kiện an ninh điển hình NFT trong nửa đầu năm
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, dẫn đến việc hơn 100 NFT bị đánh cắp. Nguyên nhân của sự kiện là do lỗ hổng logic trong hợp đồng, việc sử dụng lẫn lộn giữa token ERC-1155 và ERC-721 đã gây ra sự hỗn loạn về logic. Hợp đồng đã sử dụng sai khái niệm số lượng token ERC-721 khi tính toán giá mua token, và trong việc thực hiện chuyển nhượng token đã không tiến hành tách biệt logic.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, hacker đã sử dụng vay chớp nhoáng để nhận được hơn 60.000 APE Coin airdrop. Lỗi này tồn tại trong hợp đồng airdrop, chỉ kiểm tra quyền sở hữu NFT thông qua số dư tức thì, và trạng thái này có thể bị thao túng bởi vay chớp nhoáng.
Sự kiện Revest Finance
Ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công bởi hacker, thiệt hại khoảng 120.000 USD. Nguyên nhân là do lỗ hổng tái nhập ERC-1155, hợp đồng khi đúc FNFT mới không kiểm tra xem đã tồn tại hay chưa, và biến trạng thái tự tăng sau hàm mint, dẫn đến khả năng bị tấn công tái nhập.
sự kiện dự án NBA NFT
Ngày 21 tháng 4 năm 2022, dự án NFT liên quan đến NBA đã bị tấn công. Vấn đề nằm ở giai đoạn kiểm tra chữ ký xác thực danh sách trắng, có hai rủi ro bảo mật là chữ ký bị giả mạo và tái sử dụng. Hợp đồng không lưu chữ ký đã sử dụng và không kiểm tra msg.sender khi truyền tham số.
Sự kiện Akutar
Ngày 23 tháng 4 năm 2022, dự án Akutar đã bị khóa 1.15 vạn ETH ( khoảng 34 triệu USD ) do lỗ hổng hợp đồng. Chủ yếu có hai vấn đề logic: hàm hoàn tiền có thể bị ngắt bởi các hành vi ác ý; không xem xét tình huống người dùng đấu thầu nhiều lần dẫn đến việc hoàn tiền không bao giờ có thể thực hiện.
Sự kiện XCarnival
Ngày 24 tháng 6 năm 2022, giao thức cho vay NFT XCarnival đã bị tấn công, gây thiệt hại khoảng 3,8 triệu USD. Lỗ hổng nằm ở việc không xác minh địa chỉ xToken khi thế chấp NFT, và không kiểm tra trạng thái hồ sơ thế chấp khi vay, khiến kẻ tấn công có thể sử dụng lại tài sản thế chấp không hợp lệ để vay.
Các câu hỏi thường gặp về kiểm toán hợp đồng NFT
Ký tên giả mạo và tái sử dụng:
Lỗi logic:
Tấn công tái nhập ERC721/ERC1155:
Phạm vi ủy quyền quá lớn:
Kiểm soát giá:
Vì sự kiện an toàn hợp đồng NFT xảy ra thường xuyên, và những lỗ hổng phổ biến được phát hiện trong quá trình kiểm toán thường khớp cao với các cuộc tấn công thực tế, các bên dự án nên chú trọng đến an toàn hợp đồng, tìm kiếm dịch vụ kiểm toán chuyên nghiệp để giảm thiểu rủi ro an toàn.