Keamanan Kontrak NFT: Tinjauan Peristiwa dan Poin Audit Paruh Pertama 2022
Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT sering terjadi, mengakibatkan kerugian ekonomi yang besar. Menurut pemantauan suatu platform keamanan blockchain, selama paruh pertama tahun ini terjadi 10 insiden keamanan NFT utama, dengan total kerugian sekitar 64,9 juta dolar AS. Metode serangan utama termasuk eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa insiden phishing di Discord hampir terjadi setiap hari, banyak pengguna mengalami kerugian akibat mengklik tautan phishing.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO mengalami serangan hacker, mengakibatkan lebih dari 100 NFT dicuri. Kerentanan terdapat pada fungsi buyItem dari kontrak TreasureMarketplaceBuyer, yang karena kurangnya pemeriksaan jenis token, memungkinkan pembelian token dengan jumlah pembayaran ERC-20 token sebesar 0. Masalah ini berasal dari kebingungan logika yang ditimbulkan oleh penggunaan campuran token ERC-1155 dan ERC-721.
acara airdrop APE Coin
Pada 17 Maret 2022, peretas mendapatkan lebih dari 60.000 APE Coin airdrop melalui pinjaman kilat. Kerentanan muncul dalam kontrak airdrop AirdropGrapesToken, yang hanya memeriksa status kepemilikan NFT pengguna secara instan, tanpa mempertimbangkan dampak yang mungkin ditimbulkan oleh pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance mengalami serangan, dengan kerugian sekitar 120.000 dolar AS. Kerentanan tersebut melibatkan serangan reentrancy ERC-1155, yang terjadi pada fungsi depositAdditionalToFNFT() dari kontrak Revest.
NBA mengeruk keuntungan
Pada 21 April 2022, pihak proyek NBA mengalami serangan. Kontrak The_Association_Sales memiliki masalah pemalsuan dan penggunaan kembali tanda tangan saat verifikasi whitelist, tidak menyimpan tanda tangan yang telah digunakan dan melakukan verifikasi msg.sender.
Akutar事件
Pada 23 April 2022, kontrak AkuAuction dari proyek Akutar terkunci karena celah logika yang menyebabkan 11539ETH (sekitar 34 juta USD) terkunci. Masalah utama termasuk desain fungsi pengembalian dana yang tidak tepat dan tidak mempertimbangkan situasi di mana pengguna mengajukan tawaran berkali-kali.
Peristiwa XCarnival
Pada 24 Juni 2022, protokol pinjaman NFT XCarnival diserang, mengalami kerugian sekitar 3,8 juta dolar AS. Fungsi pledgeAndBorrow dari kontrak XNFT memiliki celah logika, tidak melakukan pemeriksaan yang efektif pada alamat xToken dan status catatan jaminan.
Pertanyaan Umum tentang Audit Kontrak NFT
Penandatanganan yang disalahgunakan dan digunakan kembali:
Kurang verifikasi eksekusi ulang
Pemeriksaan tanda tangan tidak masuk akal
Celah logika:
Kontrol total pasokan koin yang tidak tepat
Urutan transaksi dalam proses lelang tergantung pada serangan
Serangan Reentrancy ERC721/ERC1155:
Fitur notifikasi transfer mungkin menyebabkan reentrancy
Ruang lingkup otorisasi terlalu besar:
Risiko otorisasi global yang tidak perlu
Manipulasi harga:
Harga NFT tergantung pada faktor yang mudah dimanipulasi
Mengingat seringnya kejadian keamanan kontrak NFT, pihak proyek harus memperhatikan pekerjaan audit keamanan kontrak untuk mencegah risiko potensial dan melindungi keamanan aset pengguna.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
23 Suka
Hadiah
23
9
Bagikan
Komentar
0/400
GhostWalletSleuth
· 07-20 14:42
Ini adalah sejarah darah dan air mata para suckers lagi, sigh.
Lihat AsliBalas0
just_here_for_vibes
· 07-20 14:30
Kontrak harus diperiksa dengan jelas!
Lihat AsliBalas0
GreenCandleCollector
· 07-19 22:51
Kembali dianggap bodoh.
Lihat AsliBalas0
BrokenDAO
· 07-17 15:12
Jumlah dana terlalu besar, audit pun tidak dapat menyelamatkan, pada dasarnya masih merupakan cacat kemanusiaan.
Lihat AsliBalas0
CryptoCross-TalkClub
· 07-17 15:12
Dianggap Bodoh kontrak kembali bergulir, malam ini akan ada segmen baru.
Lihat AsliBalas0
ILCollector
· 07-17 15:04
Sekali lagi musim panen para suckers tahun ini.
Lihat AsliBalas0
ProveMyZK
· 07-17 15:04
Dianggap Bodoh tekniknya memang banyak
Lihat AsliBalas0
CryptoWageSlave
· 07-17 15:01
Rugi memang banyak, melihatnya bikin sakit hati.
Lihat AsliBalas0
HodlBeliever
· 07-17 14:59
Tidak melakukan manajemen risiko sama dengan bunuh diri secara perlahan.
Peringatan Keamanan Kontrak NFT: 10 kejadian pada paruh pertama 2022 mengakibatkan kerugian sebesar 64,9 juta dolar AS
Keamanan Kontrak NFT: Tinjauan Peristiwa dan Poin Audit Paruh Pertama 2022
Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT sering terjadi, mengakibatkan kerugian ekonomi yang besar. Menurut pemantauan suatu platform keamanan blockchain, selama paruh pertama tahun ini terjadi 10 insiden keamanan NFT utama, dengan total kerugian sekitar 64,9 juta dolar AS. Metode serangan utama termasuk eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa insiden phishing di Discord hampir terjadi setiap hari, banyak pengguna mengalami kerugian akibat mengklik tautan phishing.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO mengalami serangan hacker, mengakibatkan lebih dari 100 NFT dicuri. Kerentanan terdapat pada fungsi buyItem dari kontrak TreasureMarketplaceBuyer, yang karena kurangnya pemeriksaan jenis token, memungkinkan pembelian token dengan jumlah pembayaran ERC-20 token sebesar 0. Masalah ini berasal dari kebingungan logika yang ditimbulkan oleh penggunaan campuran token ERC-1155 dan ERC-721.
acara airdrop APE Coin
Pada 17 Maret 2022, peretas mendapatkan lebih dari 60.000 APE Coin airdrop melalui pinjaman kilat. Kerentanan muncul dalam kontrak airdrop AirdropGrapesToken, yang hanya memeriksa status kepemilikan NFT pengguna secara instan, tanpa mempertimbangkan dampak yang mungkin ditimbulkan oleh pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance mengalami serangan, dengan kerugian sekitar 120.000 dolar AS. Kerentanan tersebut melibatkan serangan reentrancy ERC-1155, yang terjadi pada fungsi depositAdditionalToFNFT() dari kontrak Revest.
NBA mengeruk keuntungan
Pada 21 April 2022, pihak proyek NBA mengalami serangan. Kontrak The_Association_Sales memiliki masalah pemalsuan dan penggunaan kembali tanda tangan saat verifikasi whitelist, tidak menyimpan tanda tangan yang telah digunakan dan melakukan verifikasi msg.sender.
Akutar事件
Pada 23 April 2022, kontrak AkuAuction dari proyek Akutar terkunci karena celah logika yang menyebabkan 11539ETH (sekitar 34 juta USD) terkunci. Masalah utama termasuk desain fungsi pengembalian dana yang tidak tepat dan tidak mempertimbangkan situasi di mana pengguna mengajukan tawaran berkali-kali.
Peristiwa XCarnival
Pada 24 Juni 2022, protokol pinjaman NFT XCarnival diserang, mengalami kerugian sekitar 3,8 juta dolar AS. Fungsi pledgeAndBorrow dari kontrak XNFT memiliki celah logika, tidak melakukan pemeriksaan yang efektif pada alamat xToken dan status catatan jaminan.
Pertanyaan Umum tentang Audit Kontrak NFT
Penandatanganan yang disalahgunakan dan digunakan kembali:
Celah logika:
Serangan Reentrancy ERC721/ERC1155:
Ruang lingkup otorisasi terlalu besar:
Manipulasi harga:
Mengingat seringnya kejadian keamanan kontrak NFT, pihak proyek harus memperhatikan pekerjaan audit keamanan kontrak untuk mencegah risiko potensial dan melindungi keamanan aset pengguna.