Kiểm toán an ninh hợp đồng NFT: Các câu hỏi thường gặp và phân tích trường hợp điển hình
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra tổn thất kinh tế lớn. Theo thống kê, có tổng cộng 10 sự kiện an ninh chính, gây thiệt hại khoảng 64,9 triệu đô la Mỹ. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Trong đó, tấn công lừa đảo trên nền tảng Discord đặc biệt nghiêm trọng, gần như mỗi ngày có máy chủ bị tấn công, dẫn đến tổn thất tài sản của người dùng.
Phân tích sự kiện an toàn điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công, hơn 100 NFT đã bị đánh cắp. Lỗ hổng nằm trong hàm buyItem của hợp đồng TreasureMarketplaceBuyer, không kiểm tra loại token trước khi tính tổng giá, dẫn đến việc có thể mua NFT mà không phải trả 0 token. Điều này là do sự lẫn lộn logic giữa các token ERC-1155 và ERC-721.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, tin tặc đã sử dụng khoản vay chớp nhoáng để lấy được hơn 60.000 đồng APE Coin airdrop. Hợp đồng airdrop của GrapesToken sử dụng balanceOf() để xác định quyền sở hữu NFT BAYC/MAYC, nhưng điều này chỉ có thể lấy được trạng thái nhất thời, bị thao túng bởi khoản vay chớp nhoáng.
Sự kiện Revest Finance
Ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công, thiệt hại 120.000 USD. Đây là một cuộc tấn công tái nhập điển hình ERC-1155, xuất phát từ việc hợp đồng không kiểm tra xem FNFT mới đã tồn tại hay chưa khi mint, và biến trạng thái tự tăng sau hàm _mint().
Sự kiện NBA hớt váng
Ngày 21 tháng 4 năm 2022, dự án NBA bị tấn công. Hợp đồng The_Association_Sales có vấn đề về mạo danh và tái sử dụng chữ ký khi xác minh danh sách trắng, không lưu trữ chữ ký đã sử dụng và thiếu kiểm tra msg.sender.
Sự kiện Akutar
Ngày 23 tháng 4 năm 2022, lỗ hổng hợp đồng AkuAuction của dự án Akutar đã dẫn đến việc 11539 ETH(, tương đương khoảng 34 triệu USD) bị khóa. Các vấn đề chính bao gồm lỗi logic của hàm hoàn tiền và không xem xét tình huống người dùng đấu thầu nhiều lần.
sự kiện XCarnival
Ngày 24 tháng 6 năm 2022, XCarnival bị tấn công, thiệt hại 3087 ETH( khoảng 3.8 triệu đô la). Hàm pledgeAndBorrow của hợp đồng XNFT không kiểm tra danh sách trắng địa chỉ xToken và trạng thái ghi chép thế chấp, dẫn đến việc kẻ tấn công có thể tái sử dụng ghi chép thế chấp không hợp lệ để vay mượn.
Câu hỏi thường gặp về kiểm toán hợp đồng NFT
Lạm dụng và tái sử dụng chữ ký:
Thiếu xác thực thực thi lặp lại, chẳng hạn như nonce của người dùng
Kiểm tra chữ ký không hợp lý, như không kiểm tra chữ ký địa chỉ không.
Lỗi logic:
Quản trị viên vượt qua giới hạn tổng số để đúc tiền
Có nguy cơ tấn công phụ thuộc vào thứ tự giao dịch trong đấu giá
Tấn công tái nhập ERC721/ERC1155:
Chức năng thông báo chuyển khoản có thể dẫn đến việc gọi lại
Phạm vi ủy quyền quá lớn:
Yêu cầu ủy quyền toàn cầu thay vì ủy quyền cho từng mã thông báo
Kiểm soát giá:
Giá NFT phụ thuộc vào lượng token nắm giữ của hợp đồng bên ngoài, dễ bị thao túng bởi vay chớp nhoáng.
Xét thấy các sự kiện an ninh hợp đồng NFT xảy ra thường xuyên, các dự án nên chú trọng đến việc kiểm toán an ninh hợp đồng, thuê các công ty an ninh chuyên nghiệp để tiến hành kiểm tra toàn diện nhằm giảm thiểu rủi ro an ninh.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
5
Đăng lại
Chia sẻ
Bình luận
0/400
WhaleWatcher
· 22giờ trước
Lại lại lại mất tiền rồi, ai còn chơi NFT nữa?
Xem bản gốcTrả lời0
SerLiquidated
· 22giờ trước
Chẳng phải chỉ là tra một hợp đồng sao? Thật sự là không có thiệt hại mà có được nft.
Xem bản gốcTrả lời0
SatoshiChallenger
· 22giờ trước
Cuộc đại thanh trừng đã bắt đầu, kịch bản kết thúc tốt nhất cho tiền kỹ thuật số.
Xem bản gốcTrả lời0
MEVHunter
· 22giờ trước
Một trò chơi với hàm buyItem khác, thật sự tệ hại.
Sự kiện an toàn hợp đồng NFT xảy ra thường xuyên, bài học từ tổn thất 64,9 triệu đô la.
Kiểm toán an ninh hợp đồng NFT: Các câu hỏi thường gặp và phân tích trường hợp điển hình
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra tổn thất kinh tế lớn. Theo thống kê, có tổng cộng 10 sự kiện an ninh chính, gây thiệt hại khoảng 64,9 triệu đô la Mỹ. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Trong đó, tấn công lừa đảo trên nền tảng Discord đặc biệt nghiêm trọng, gần như mỗi ngày có máy chủ bị tấn công, dẫn đến tổn thất tài sản của người dùng.
Phân tích sự kiện an toàn điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công, hơn 100 NFT đã bị đánh cắp. Lỗ hổng nằm trong hàm buyItem của hợp đồng TreasureMarketplaceBuyer, không kiểm tra loại token trước khi tính tổng giá, dẫn đến việc có thể mua NFT mà không phải trả 0 token. Điều này là do sự lẫn lộn logic giữa các token ERC-1155 và ERC-721.
Sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, tin tặc đã sử dụng khoản vay chớp nhoáng để lấy được hơn 60.000 đồng APE Coin airdrop. Hợp đồng airdrop của GrapesToken sử dụng balanceOf() để xác định quyền sở hữu NFT BAYC/MAYC, nhưng điều này chỉ có thể lấy được trạng thái nhất thời, bị thao túng bởi khoản vay chớp nhoáng.
Sự kiện Revest Finance
Ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công, thiệt hại 120.000 USD. Đây là một cuộc tấn công tái nhập điển hình ERC-1155, xuất phát từ việc hợp đồng không kiểm tra xem FNFT mới đã tồn tại hay chưa khi mint, và biến trạng thái tự tăng sau hàm _mint().
Sự kiện NBA hớt váng
Ngày 21 tháng 4 năm 2022, dự án NBA bị tấn công. Hợp đồng The_Association_Sales có vấn đề về mạo danh và tái sử dụng chữ ký khi xác minh danh sách trắng, không lưu trữ chữ ký đã sử dụng và thiếu kiểm tra msg.sender.
Sự kiện Akutar
Ngày 23 tháng 4 năm 2022, lỗ hổng hợp đồng AkuAuction của dự án Akutar đã dẫn đến việc 11539 ETH(, tương đương khoảng 34 triệu USD) bị khóa. Các vấn đề chính bao gồm lỗi logic của hàm hoàn tiền và không xem xét tình huống người dùng đấu thầu nhiều lần.
sự kiện XCarnival
Ngày 24 tháng 6 năm 2022, XCarnival bị tấn công, thiệt hại 3087 ETH( khoảng 3.8 triệu đô la). Hàm pledgeAndBorrow của hợp đồng XNFT không kiểm tra danh sách trắng địa chỉ xToken và trạng thái ghi chép thế chấp, dẫn đến việc kẻ tấn công có thể tái sử dụng ghi chép thế chấp không hợp lệ để vay mượn.
Câu hỏi thường gặp về kiểm toán hợp đồng NFT
Lạm dụng và tái sử dụng chữ ký:
Lỗi logic:
Tấn công tái nhập ERC721/ERC1155:
Phạm vi ủy quyền quá lớn:
Kiểm soát giá:
Xét thấy các sự kiện an ninh hợp đồng NFT xảy ra thường xuyên, các dự án nên chú trọng đến việc kiểm toán an ninh hợp đồng, thuê các công ty an ninh chuyên nghiệp để tiến hành kiểm tra toàn diện nhằm giảm thiểu rủi ro an ninh.