Keamanan Kontrak NFT: Tinjauan Peristiwa dan Poin Audit Paruh Pertama 2022

Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT sering terjadi, mengakibatkan kerugian ekonomi yang besar. Menurut pemantauan suatu platform keamanan blockchain, selama paruh pertama tahun ini terjadi 10 insiden keamanan NFT utama, dengan total kerugian sekitar 64,9 juta dolar AS. Metode serangan utama termasuk eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa insiden phishing di Discord hampir terjadi setiap hari, banyak pengguna mengalami kerugian akibat mengklik tautan phishing.

Analisis Kejadian Keamanan Tipikal

Peristiwa TreasureDAO

Pada 3 Maret 2022, platform perdagangan TreasureDAO mengalami serangan hacker, mengakibatkan lebih dari 100 NFT dicuri. Kerentanan terdapat pada fungsi buyItem dari kontrak TreasureMarketplaceBuyer, yang karena kurangnya pemeriksaan jenis token, memungkinkan pembelian token dengan jumlah pembayaran ERC-20 token sebesar 0. Masalah ini berasal dari kebingungan logika yang ditimbulkan oleh penggunaan campuran token ERC-1155 dan ERC-721.

acara airdrop APE Coin

Pada 17 Maret 2022, peretas mendapatkan lebih dari 60.000 APE Coin airdrop melalui pinjaman kilat. Kerentanan muncul dalam kontrak airdrop AirdropGrapesToken, yang hanya memeriksa status kepemilikan NFT pengguna secara instan, tanpa mempertimbangkan dampak yang mungkin ditimbulkan oleh pinjaman kilat.

Peristiwa Revest Finance

Pada 27 Maret 2022, Revest Finance mengalami serangan, dengan kerugian sekitar 120.000 dolar AS. Kerentanan tersebut melibatkan serangan reentrancy ERC-1155, yang terjadi pada fungsi depositAdditionalToFNFT() dari kontrak Revest.

NBA mengeruk keuntungan

Pada 21 April 2022, pihak proyek NBA mengalami serangan. Kontrak The_Association_Sales memiliki masalah pemalsuan dan penggunaan kembali tanda tangan saat verifikasi whitelist, tidak menyimpan tanda tangan yang telah digunakan dan melakukan verifikasi msg.sender.

Akutar事件

Pada 23 April 2022, kontrak AkuAuction dari proyek Akutar terkunci karena celah logika yang menyebabkan 11539ETH (sekitar 34 juta USD) terkunci. Masalah utama termasuk desain fungsi pengembalian dana yang tidak tepat dan tidak mempertimbangkan situasi di mana pengguna mengajukan tawaran berkali-kali.

Peristiwa XCarnival

Pada 24 Juni 2022, protokol pinjaman NFT XCarnival diserang, mengalami kerugian sekitar 3,8 juta dolar AS. Fungsi pledgeAndBorrow dari kontrak XNFT memiliki celah logika, tidak melakukan pemeriksaan yang efektif pada alamat xToken dan status catatan jaminan.

Pertanyaan Umum tentang Audit Kontrak NFT

1. Penandatanganan yang disalahgunakan dan digunakan kembali:

   • Kurang verifikasi eksekusi ulang
   • Pemeriksaan tanda tangan tidak masuk akal

2. Celah logika:

   • Kontrol total pasokan koin yang tidak tepat
   • Urutan transaksi dalam proses lelang tergantung pada serangan

3. Serangan Reentrancy ERC721/ERC1155:

   • Fitur notifikasi transfer mungkin menyebabkan reentrancy

4. Ruang lingkup otorisasi terlalu besar:

   • Risiko otorisasi global yang tidak perlu

5. Manipulasi harga:

   • Harga NFT tergantung pada faktor yang mudah dimanipulasi

Mengingat seringnya kejadian keamanan kontrak NFT, pihak proyek harus memperhatikan pekerjaan audit keamanan kontrak untuk mencegah risiko potensial dan melindungi keamanan aset pengguna.