An toàn hợp đồng NFT: Tổng quan sự kiện nửa đầu năm 2022 và các điểm kiểm toán
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra thiệt hại kinh tế lớn. Theo một nền tảng an ninh blockchain, trong nửa đầu năm đã xảy ra tổng cộng 10 sự kiện an ninh NFT chính, tổng thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, các sự kiện lừa đảo trên Discord xảy ra gần như hàng ngày, nhiều người dùng đã bị thiệt hại do nhấp vào các liên kết lừa đảo.
Phân tích sự kiện an toàn điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, dẫn đến việc hơn 100 NFT bị đánh cắp. Lỗ hổng tồn tại trong hàm buyItem của hợp đồng TreasureMarketplaceBuyer, do thiếu kiểm tra loại token, dẫn đến việc có thể mua token trong trường hợp số lượng token ERC-20 thanh toán là 0. Vấn đề này phát sinh từ sự nhầm lẫn logic do việc sử dụng lẫn lộn token ERC-1155 và ERC-721.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, hacker đã sử dụng vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Lỗi xảy ra trong hợp đồng airdrop của AirdropGrapesToken, hợp đồng chỉ kiểm tra trạng thái sở hữu tức thời của người dùng đối với NFT, mà không xem xét các ảnh hưởng có thể xảy ra từ vay chớp nhoáng.
Sự kiện Revest Finance
Ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công, thiệt hại khoảng 120.000 USD. Lỗ hổng liên quan đến cuộc tấn công tái nhập ERC-1155, xảy ra trong hàm depositAdditionalToFNFT() của hợp đồng Revest.
NBA kiếm lợi từ sự kiện
Ngày 21 tháng 4 năm 2022, dự án NBA đã bị tấn công. Hợp đồng The_Association_Sales gặp vấn đề về việc mạo danh và tái sử dụng chữ ký trong quá trình xác thực danh sách trắng, không lưu trữ chữ ký đã sử dụng và kiểm tra msg.sender.
Sự kiện Akutar
Vào ngày 23 tháng 4 năm 2022, hợp đồng AkuAuction của dự án Akutar đã bị khóa 11539ETH (khoảng 34 triệu USD) do lỗ hổng logic. Vấn đề chính bao gồm thiết kế hàm hoàn tiền không hợp lý và không xem xét tình huống người dùng đặt thầu nhiều lần.
sự kiện XCarnival
Vào ngày 24 tháng 6 năm 2022, giao thức cho vay NFT XCarnival đã bị tấn công, gây thiệt hại khoảng 3,8 triệu USD. Hàm pledgeAndBorrow của hợp đồng XNFT có lỗ hổng logic, không kiểm tra hiệu quả địa chỉ xToken và trạng thái ghi chép thế chấp.
Các câu hỏi thường gặp về kiểm toán hợp đồng NFT
Lạm dụng và tái sử dụng chữ ký:
Thiếu xác thực thực hiện lặp lại
Kiểm tra chữ ký không hợp lý
Lỗi logic:
Kiểm soát tổng lượng tiền đúc không đúng cách
Thứ tự giao dịch trong quá trình đấu giá phụ thuộc vào tấn công
Tấn công tái nhập ERC721/ERC1155:
Chức năng thông báo chuyển khoản có thể dẫn đến việc gọi lại
Phạm vi ủy quyền quá lớn:
Rủi ro ủy quyền toàn cầu không cần thiết
Kiểm soát giá:
Giá NFT phụ thuộc vào các yếu tố dễ bị thao túng
Xem xét việc các sự kiện an toàn hợp đồng NFT xảy ra thường xuyên, các nhà phát triển dự án nên chú trọng đến công tác kiểm toán an toàn hợp đồng, nhằm ngăn ngừa rủi ro tiềm ẩn, bảo vệ an toàn tài sản của người dùng.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
23 thích
Phần thưởng
23
9
Chia sẻ
Bình luận
0/400
GhostWalletSleuth
· 07-20 14:42
Lại là một câu chuyện đầy nước mắt của đồ ngốc đây. Ai mà biết được.
Xem bản gốcTrả lời0
just_here_for_vibes
· 07-20 14:30
Hợp đồng phải được kiểm tra rõ ràng trước!
Xem bản gốcTrả lời0
GreenCandleCollector
· 07-19 22:51
Lại bị chơi đùa với mọi người rồi
Xem bản gốcTrả lời0
BrokenDAO
· 07-17 15:12
Vốn quá lớn, ngay cả kiểm toán cũng không thể cứu vãn, bản chất vẫn là thiếu sót của con người.
Xem bản gốcTrả lời0
CryptoCross-TalkClub
· 07-17 15:12
Được chơi cho Suckers hợp đồng lại cuốn lên rồi, tối nay sẽ kể một đoạn tân tiểu phẩm.
Xem bản gốcTrả lời0
ILCollector
· 07-17 15:04
又是一年的 đồ ngốc chơi đùa với mọi người季
Xem bản gốcTrả lời0
ProveMyZK
· 07-17 15:04
Được chơi cho Suckers có thật nhiều kỹ thuật
Xem bản gốcTrả lời0
CryptoWageSlave
· 07-17 15:01
Thật sự thua lỗ không ít, nhìn mà đau lòng.
Xem bản gốcTrả lời0
HodlBeliever
· 07-17 14:59
Không thực hiện quản lý rủi ro đồng nghĩa với tự sát mãn tính.
Cảnh báo an toàn hợp đồng NFT: Trong nửa đầu năm 2022, 10 sự kiện đã gây thiệt hại 64,9 triệu đô la Mỹ.
An toàn hợp đồng NFT: Tổng quan sự kiện nửa đầu năm 2022 và các điểm kiểm toán
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra thiệt hại kinh tế lớn. Theo một nền tảng an ninh blockchain, trong nửa đầu năm đã xảy ra tổng cộng 10 sự kiện an ninh NFT chính, tổng thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, các sự kiện lừa đảo trên Discord xảy ra gần như hàng ngày, nhiều người dùng đã bị thiệt hại do nhấp vào các liên kết lừa đảo.
Phân tích sự kiện an toàn điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, dẫn đến việc hơn 100 NFT bị đánh cắp. Lỗ hổng tồn tại trong hàm buyItem của hợp đồng TreasureMarketplaceBuyer, do thiếu kiểm tra loại token, dẫn đến việc có thể mua token trong trường hợp số lượng token ERC-20 thanh toán là 0. Vấn đề này phát sinh từ sự nhầm lẫn logic do việc sử dụng lẫn lộn token ERC-1155 và ERC-721.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, hacker đã sử dụng vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Lỗi xảy ra trong hợp đồng airdrop của AirdropGrapesToken, hợp đồng chỉ kiểm tra trạng thái sở hữu tức thời của người dùng đối với NFT, mà không xem xét các ảnh hưởng có thể xảy ra từ vay chớp nhoáng.
Sự kiện Revest Finance
Ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công, thiệt hại khoảng 120.000 USD. Lỗ hổng liên quan đến cuộc tấn công tái nhập ERC-1155, xảy ra trong hàm depositAdditionalToFNFT() của hợp đồng Revest.
NBA kiếm lợi từ sự kiện
Ngày 21 tháng 4 năm 2022, dự án NBA đã bị tấn công. Hợp đồng The_Association_Sales gặp vấn đề về việc mạo danh và tái sử dụng chữ ký trong quá trình xác thực danh sách trắng, không lưu trữ chữ ký đã sử dụng và kiểm tra msg.sender.
Sự kiện Akutar
Vào ngày 23 tháng 4 năm 2022, hợp đồng AkuAuction của dự án Akutar đã bị khóa 11539ETH (khoảng 34 triệu USD) do lỗ hổng logic. Vấn đề chính bao gồm thiết kế hàm hoàn tiền không hợp lý và không xem xét tình huống người dùng đặt thầu nhiều lần.
sự kiện XCarnival
Vào ngày 24 tháng 6 năm 2022, giao thức cho vay NFT XCarnival đã bị tấn công, gây thiệt hại khoảng 3,8 triệu USD. Hàm pledgeAndBorrow của hợp đồng XNFT có lỗ hổng logic, không kiểm tra hiệu quả địa chỉ xToken và trạng thái ghi chép thế chấp.
Các câu hỏi thường gặp về kiểm toán hợp đồng NFT
Lạm dụng và tái sử dụng chữ ký:
Lỗi logic:
Tấn công tái nhập ERC721/ERC1155:
Phạm vi ủy quyền quá lớn:
Kiểm soát giá:
Xem xét việc các sự kiện an toàn hợp đồng NFT xảy ra thường xuyên, các nhà phát triển dự án nên chú trọng đến công tác kiểm toán an toàn hợp đồng, nhằm ngăn ngừa rủi ro tiềm ẩn, bảo vệ an toàn tài sản của người dùng.