Báo cáo phân tích an ninh hợp đồng NFT: Các vấn đề thường gặp và các trường hợp điển hình
Trong nửa đầu năm 2022, lĩnh vực NFT đã xảy ra nhiều sự kiện an ninh nghiêm trọng, tổng thiệt hại khoảng 64,9 triệu USD. Những sự kiện này chủ yếu do khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và tấn công lừa đảo gây ra. Đáng chú ý là, các cuộc tấn công lừa đảo trên nền tảng Discord gần như xảy ra hàng ngày, gây thiệt hại thường xuyên cho người dùng cá nhân.
Phân tích sự kiện an toàn điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị tấn công, dẫn đến việc hơn 100 NFT bị đánh cắp. Nguyên nhân cơ bản của sự cố này là sự nhầm lẫn logic do việc sử dụng hỗn hợp token ERC-1155 và ERC-721. Hợp đồng không phân biệt loại token, đã sai lầm khi áp dụng khái niệm số lượng không phù hợp với ERC-721 vào việc tính toán giá.
sự kiện airdrop APE Coin
Vào ngày 17 tháng 3, một hacker đã sử dụng vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Lỗ hổng tồn tại trong hợp đồng airdrop, hợp đồng chỉ kiểm tra quyền sở hữu NFT tạm thời của người dùng, và điều này có thể dễ dàng bị thao túng thông qua vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3, Revest Finance đã bị tấn công, thiệt hại khoảng 120.000 đô la. Đây là một trường hợp điển hình của cuộc tấn công tái nhập ERC-1155. Hợp đồng đã không kiểm tra đầy đủ khi đúc FNFT mới, dẫn đến lỗ hổng tái nhập.
Sự kiện NBA lừa đảo
Vào ngày 21 tháng 4, dự án NBA đã bị tấn công. Vấn đề nằm ở cơ chế xác minh chữ ký trong danh sách trắng, có hai vấn đề chính là giả mạo và tái sử dụng chữ ký. Hợp đồng không lưu trữ chữ ký đã sử dụng và cũng không xác minh nghiêm ngặt người ký.
Sự kiện Akutar
Vào ngày 23 tháng 4, dự án Akutar đã bị khóa 34 triệu đô la tài sản do lỗ hổng hợp đồng. Các vấn đề chính bao gồm thiếu sót trong logic của hàm hoàn tiền và không xem xét trường hợp người dùng đặt thầu nhiều lần.
sự kiện XCarnival
Vào ngày 24 tháng 6, XCarnival đã bị tấn công, thiệt hại khoảng 3,8 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng logic trong hợp đồng trong quá trình thế chấp NFT và cho vay, sử dụng lại các hồ sơ thế chấp không hợp lệ để thực hiện việc cho vay.
Các vấn đề bảo mật thường gặp trong hợp đồng NFT
Sử dụng và tái sử dụng chữ ký: Thiếu xác minh thực hiện lặp lại và kiểm tra tính hợp lệ của người ký.
Lỗ hổng logic: chẳng hạn như quản trị viên vượt qua giới hạn tổng lượng phát hành tiền, thứ tự giao dịch trong quá trình đấu giá phụ thuộc vào tấn công, v.v.
Tấn công tái nhập ERC721/ERC1155: Có thể xảy ra khi sử dụng chức năng thông báo chuyển khoản.
Quyền ủy quyền quá lớn: Người dùng bị yêu cầu ủy quyền quá mức trong một số thao tác.
Kiểm soát giá: Giá NFT phụ thuộc vào các yếu tố bên ngoài, có thể bị thao túng bằng cách như vay mượn chớp nhoáng.
Những vấn đề này thường xuất hiện trong các cuộc tấn công thực tế, làm nổi bật tầm quan trọng của việc kiểm toán an ninh chuyên nghiệp. Các dự án nên chú trọng đến an toàn hợp đồng, tìm kiếm đội ngũ chuyên nghiệp để thực hiện kiểm toán toàn diện, nhằm phòng ngừa các rủi ro tiềm ẩn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
6 thích
Phần thưởng
6
4
Chia sẻ
Bình luận
0/400
xSm2
· 17giờ trước
APE Không phải là dam(?) dự án. Thực tế, tôi tin rằng nó đang hiện diện ngay trước mắt mọi người, chúng ta sẽ lăn mắt trong (quyền sở hữu) trong thời gian SooN.
Vẫn còn những thứ trong đường ống liên quan đến nfts và APE cụ thể.
Thời gian* phim
Xem bản gốcTrả lời0
MEVHunterWang
· 23giờ trước
Ai chịu được đợt bị chơi đùa với mọi người này thật sự đã tiêu tốn gần như một mục tiêu nhỏ.
Nửa đầu năm 2022, các sự kiện an ninh NFT xảy ra thường xuyên, lỗ hổng hợp đồng trở thành rủi ro chính.
Báo cáo phân tích an ninh hợp đồng NFT: Các vấn đề thường gặp và các trường hợp điển hình
Trong nửa đầu năm 2022, lĩnh vực NFT đã xảy ra nhiều sự kiện an ninh nghiêm trọng, tổng thiệt hại khoảng 64,9 triệu USD. Những sự kiện này chủ yếu do khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và tấn công lừa đảo gây ra. Đáng chú ý là, các cuộc tấn công lừa đảo trên nền tảng Discord gần như xảy ra hàng ngày, gây thiệt hại thường xuyên cho người dùng cá nhân.
Phân tích sự kiện an toàn điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị tấn công, dẫn đến việc hơn 100 NFT bị đánh cắp. Nguyên nhân cơ bản của sự cố này là sự nhầm lẫn logic do việc sử dụng hỗn hợp token ERC-1155 và ERC-721. Hợp đồng không phân biệt loại token, đã sai lầm khi áp dụng khái niệm số lượng không phù hợp với ERC-721 vào việc tính toán giá.
sự kiện airdrop APE Coin
Vào ngày 17 tháng 3, một hacker đã sử dụng vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Lỗ hổng tồn tại trong hợp đồng airdrop, hợp đồng chỉ kiểm tra quyền sở hữu NFT tạm thời của người dùng, và điều này có thể dễ dàng bị thao túng thông qua vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3, Revest Finance đã bị tấn công, thiệt hại khoảng 120.000 đô la. Đây là một trường hợp điển hình của cuộc tấn công tái nhập ERC-1155. Hợp đồng đã không kiểm tra đầy đủ khi đúc FNFT mới, dẫn đến lỗ hổng tái nhập.
Sự kiện NBA lừa đảo
Vào ngày 21 tháng 4, dự án NBA đã bị tấn công. Vấn đề nằm ở cơ chế xác minh chữ ký trong danh sách trắng, có hai vấn đề chính là giả mạo và tái sử dụng chữ ký. Hợp đồng không lưu trữ chữ ký đã sử dụng và cũng không xác minh nghiêm ngặt người ký.
Sự kiện Akutar
Vào ngày 23 tháng 4, dự án Akutar đã bị khóa 34 triệu đô la tài sản do lỗ hổng hợp đồng. Các vấn đề chính bao gồm thiếu sót trong logic của hàm hoàn tiền và không xem xét trường hợp người dùng đặt thầu nhiều lần.
sự kiện XCarnival
Vào ngày 24 tháng 6, XCarnival đã bị tấn công, thiệt hại khoảng 3,8 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng logic trong hợp đồng trong quá trình thế chấp NFT và cho vay, sử dụng lại các hồ sơ thế chấp không hợp lệ để thực hiện việc cho vay.
Các vấn đề bảo mật thường gặp trong hợp đồng NFT
Sử dụng và tái sử dụng chữ ký: Thiếu xác minh thực hiện lặp lại và kiểm tra tính hợp lệ của người ký.
Lỗ hổng logic: chẳng hạn như quản trị viên vượt qua giới hạn tổng lượng phát hành tiền, thứ tự giao dịch trong quá trình đấu giá phụ thuộc vào tấn công, v.v.
Tấn công tái nhập ERC721/ERC1155: Có thể xảy ra khi sử dụng chức năng thông báo chuyển khoản.
Quyền ủy quyền quá lớn: Người dùng bị yêu cầu ủy quyền quá mức trong một số thao tác.
Kiểm soát giá: Giá NFT phụ thuộc vào các yếu tố bên ngoài, có thể bị thao túng bằng cách như vay mượn chớp nhoáng.
Những vấn đề này thường xuất hiện trong các cuộc tấn công thực tế, làm nổi bật tầm quan trọng của việc kiểm toán an ninh chuyên nghiệp. Các dự án nên chú trọng đến an toàn hợp đồng, tìm kiếm đội ngũ chuyên nghiệp để thực hiện kiểm toán toàn diện, nhằm phòng ngừa các rủi ro tiềm ẩn.
Không phải là dam(?) dự án.
Thực tế, tôi tin rằng nó đang hiện diện ngay trước mắt mọi người, chúng ta sẽ lăn mắt trong (quyền sở hữu) trong thời gian SooN.
Vẫn còn những thứ trong đường ống liên quan đến nfts và APE cụ thể.
Thời gian* phim