Audit Keamanan Kontrak NFT: Pertanyaan Umum dan Analisis Kasus Tipikal
Pada paruh pertama tahun 2022, kejadian keamanan di bidang NFT terjadi secara sering, mengakibatkan kerugian ekonomi yang besar. Menurut statistik, terdapat 10 kejadian keamanan utama yang menyebabkan kerugian sekitar 64,9 juta dolar AS. Metode serangan utamanya termasuk eksploitasi celah kontrak, kebocoran kunci pribadi, dan phishing. Di antara itu, serangan phishing di platform Discord sangat merajalela, hampir setiap hari ada server yang diserang, yang mengakibatkan kerugian aset pengguna.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang, lebih dari 100 NFT dicuri. Kerentanan ada di fungsi buyItem dari kontrak TreasureMarketplaceBuyer, yang tidak memeriksa jenis token saat menghitung total harga, memungkinkan NFT dibeli dengan membayar 0 token. Ini disebabkan oleh kebingungan logika akibat penggunaan campuran token ERC-1155 dan ERC-721.
APE Coin airdrop event
Pada 17 Maret 2022, hacker menggunakan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin dari airdrop. Kontrak airdrop AirdropGrapesToken menggunakan balanceOf() untuk menentukan kepemilikan NFT BAYC/MAYC, tetapi ini hanya dapat memperoleh status sesaat, yang dimanipulasi oleh pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance diserang, mengalami kerugian sebesar 120.000 dolar. Ini adalah contoh klasik dari serangan reentrancy ERC-1155, yang berasal dari kontrak yang tidak memeriksa apakah FNFT baru sudah ada saat mencetak, dan variabel status meningkat setelah fungsi _mint().
kejadian NBA meraih keuntungan
Pada tanggal 21 April 2022, proyek NBA diserang. Kontrak The_Association_Sales memiliki masalah penyalahgunaan dan penggunaan ulang tanda tangan saat memverifikasi daftar putih, tidak menyimpan tanda tangan yang telah digunakan dan kurangnya verifikasi msg.sender.
Akutar事件
Pada 23 April 2022, kerentanan kontrak AkuAuction proyek Akutar menyebabkan 11539 ETH( sekitar 34 juta dolar AS) terkunci. Masalah utama termasuk cacat logika fungsi pengembalian dana dan tidak mempertimbangkan situasi penawaran ganda oleh pengguna.
peristiwa XCarnival
Pada 24 Juni 2022, XCarnival diserang, kehilangan 3087 ETH( sekitar 3,8 juta dolar AS). Fungsi pledgeAndBorrow dari kontrak XNFT tidak memeriksa daftar putih alamat xToken dan status catatan jaminan, yang menyebabkan penyerang dapat memanfaatkan catatan jaminan yang tidak valid untuk meminjam.
Pertanyaan Umum tentang Audit Kontrak NFT
Penandatanganan yang disalahgunakan dan digunakan kembali:
Kurang verifikasi eksekusi berulang, seperti nonce pengguna
Pemeriksaan tanda tangan tidak wajar, seperti tidak memeriksa tanda tangan alamat nol
Celah logika:
Administrator melewati batas maksimum dalam mencetak koin
Ada risiko serangan ketergantungan urutan transaksi dalam lelang
Serangan Reentrancy ERC721/ERC1155:
Fitur notifikasi transfer dapat menyebabkan reentrancy
Ruang lingkup wewenang terlalu besar:
Meminta otorisasi global alih-alih otorisasi token individual
Manipulasi harga:
Harga NFT bergantung pada jumlah kepemilikan token kontrak eksternal, mudah dimanipulasi oleh pinjaman kilat
Mengingat seringnya kejadian keamanan kontrak NFT, pihak proyek harus memperhatikan audit keamanan kontrak, menyewa perusahaan keamanan profesional untuk melakukan pemeriksaan menyeluruh, guna mengurangi risiko keamanan.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
21 Suka
Hadiah
21
9
Posting ulang
Bagikan
Komentar
0/400
WhaleWatcher
· 08-14 04:38
Lagi-lagi kehilangan uang, siapa yang masih bermain NFT?
Lihat AsliBalas0
SerLiquidated
· 08-14 04:37
Bukankah hanya memeriksa kontrak? Benar-benar mendapatkan NFT tanpa kerugian.
Lihat AsliBalas0
SatoshiChallenger
· 08-14 04:33
Pembersihan besar dimulai, skenario penutupan terbaik untuk Uang Digital.
Lihat AsliBalas0
MEVHunter
· 08-14 04:26
Satu lagi permainan fungsi buyItem, benar-benar sial.
Peristiwa keamanan kontrak NFT sering terjadi, pelajaran di balik kerugian sebesar 64,9 juta dolar AS.
Audit Keamanan Kontrak NFT: Pertanyaan Umum dan Analisis Kasus Tipikal
Pada paruh pertama tahun 2022, kejadian keamanan di bidang NFT terjadi secara sering, mengakibatkan kerugian ekonomi yang besar. Menurut statistik, terdapat 10 kejadian keamanan utama yang menyebabkan kerugian sekitar 64,9 juta dolar AS. Metode serangan utamanya termasuk eksploitasi celah kontrak, kebocoran kunci pribadi, dan phishing. Di antara itu, serangan phishing di platform Discord sangat merajalela, hampir setiap hari ada server yang diserang, yang mengakibatkan kerugian aset pengguna.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang, lebih dari 100 NFT dicuri. Kerentanan ada di fungsi buyItem dari kontrak TreasureMarketplaceBuyer, yang tidak memeriksa jenis token saat menghitung total harga, memungkinkan NFT dibeli dengan membayar 0 token. Ini disebabkan oleh kebingungan logika akibat penggunaan campuran token ERC-1155 dan ERC-721.
APE Coin airdrop event
Pada 17 Maret 2022, hacker menggunakan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin dari airdrop. Kontrak airdrop AirdropGrapesToken menggunakan balanceOf() untuk menentukan kepemilikan NFT BAYC/MAYC, tetapi ini hanya dapat memperoleh status sesaat, yang dimanipulasi oleh pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance diserang, mengalami kerugian sebesar 120.000 dolar. Ini adalah contoh klasik dari serangan reentrancy ERC-1155, yang berasal dari kontrak yang tidak memeriksa apakah FNFT baru sudah ada saat mencetak, dan variabel status meningkat setelah fungsi _mint().
kejadian NBA meraih keuntungan
Pada tanggal 21 April 2022, proyek NBA diserang. Kontrak The_Association_Sales memiliki masalah penyalahgunaan dan penggunaan ulang tanda tangan saat memverifikasi daftar putih, tidak menyimpan tanda tangan yang telah digunakan dan kurangnya verifikasi msg.sender.
Akutar事件
Pada 23 April 2022, kerentanan kontrak AkuAuction proyek Akutar menyebabkan 11539 ETH( sekitar 34 juta dolar AS) terkunci. Masalah utama termasuk cacat logika fungsi pengembalian dana dan tidak mempertimbangkan situasi penawaran ganda oleh pengguna.
peristiwa XCarnival
Pada 24 Juni 2022, XCarnival diserang, kehilangan 3087 ETH( sekitar 3,8 juta dolar AS). Fungsi pledgeAndBorrow dari kontrak XNFT tidak memeriksa daftar putih alamat xToken dan status catatan jaminan, yang menyebabkan penyerang dapat memanfaatkan catatan jaminan yang tidak valid untuk meminjam.
Pertanyaan Umum tentang Audit Kontrak NFT
Penandatanganan yang disalahgunakan dan digunakan kembali:
Celah logika:
Serangan Reentrancy ERC721/ERC1155:
Ruang lingkup wewenang terlalu besar:
Manipulasi harga:
Mengingat seringnya kejadian keamanan kontrak NFT, pihak proyek harus memperhatikan audit keamanan kontrak, menyewa perusahaan keamanan profesional untuk melakukan pemeriksaan menyeluruh, guna mengurangi risiko keamanan.