Phân tích an toàn hợp đồng NFT và thảo luận về các vấn đề thường gặp
Trong nửa đầu năm 2022, lĩnh vực NFT đã xảy ra nhiều sự kiện an ninh, gây ra thiệt hại không nhỏ cho ngành. Theo thống kê, trong thời gian này đã xảy ra 10 sự kiện an ninh chính, gây thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, tấn công lừa đảo trên nền tảng Discord đặc biệt hoành hành, gần như hàng ngày có máy chủ bị tấn công, dẫn đến việc người dùng cá nhân thường xuyên bị thiệt hại.
Trong số những sự kiện an ninh này, có một vài sự kiện đặc biệt đáng chú ý:
Sự kiện TreasureDAO: Do sự kết hợp sử dụng mã thông báo ERC-1155 và ERC-721 dẫn đến sự lộn xộn trong logic, hacker đã thành công trong việc đánh cắp hơn 100 NFT.
Sự kiện airdrop APE Coin: Hacker đã sử dụng khoản vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Điều này đã phơi bày lỗ hổng trong hợp đồng airdrop khi xác định quyền sở hữu NFT.
Sự kiện Revest Finance: Do lỗ hổng tái nhập ERC-1155, dự án đã mất khoảng 120.000 đô la.
Dự án NBA gặp phải tấn công: Vấn đề giả mạo chữ ký và tái sử dụng dẫn đến việc xác thực danh sách trắng không còn hiệu lực.
Sự kiện Akutar: Do lỗ hổng logic hợp đồng thông minh, khoảng 34 triệu USD tài sản bị khóa trong hợp đồng.
Sự kiện XCarnival: Lỗ hổng logic hợp đồng dẫn đến việc hacker thu lợi khoảng 3,8 triệu USD.
Những sự kiện này đã tiết lộ một số vấn đề phổ biến trong quá trình thiết kế và thực hiện hợp đồng NFT. Đội ngũ kiểm toán chuyên nghiệp thường phát hiện những loại vấn đề sau đây khi xem xét hợp đồng NFT:
Giả mạo và tái sử dụng chữ ký: Thiếu kiểm tra xác nhận thực hiện lại hoặc kiểm tra chữ ký không hợp lý, dẫn đến chữ ký có thể được sử dụng nhiều lần hoặc bị bất kỳ người dùng nào thông qua kiểm tra.
Lỗ hổng logic: chẳng hạn như kiểm soát tổng lượng tiền tệ không đúng cách, các lỗ hổng trong quá trình đấu giá, v.v.
Tấn công tái nhập ERC721/ERC1155: Có thể gây ra tấn công tái nhập khi sử dụng chức năng thông báo chuyển tiền.
Phạm vi ủy quyền quá lớn: Người dùng trong một số thao tác có thể bị yêu cầu ủy quyền quá mức, làm tăng rủi ro bị đánh cắp NFT.
Kiểm soát giá: Khi giá NFT phụ thuộc vào một số yếu tố có thể bị thao túng, điều này có thể dẫn đến việc thanh lý bất thường.
Các vấn đề này thường xuất hiện trong các cuộc tấn công thực tế, làm nổi bật tầm quan trọng của việc thực hiện kiểm toán an ninh chuyên nghiệp cho hợp đồng NFT. Các bên dự án nên coi trọng an ninh hợp đồng, chọn các công ty an ninh chuyên nghiệp để thực hiện kiểm toán toàn diện, nhằm giảm thiểu rủi ro an ninh và bảo vệ quyền lợi của người dùng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
21 thích
Phần thưởng
21
7
Chia sẻ
Bình luận
0/400
MintMaster
· 07-24 15:08
Thời buổi này đúng là cướp trắng trợn.
Xem bản gốcTrả lời0
notSatoshi1971
· 07-22 22:16
又见 hợp đồng thông minh bị hk
Xem bản gốcTrả lời0
GateUser-afe07a92
· 07-22 12:22
Được chơi cho Suckers của bẫy lại ra chiêu mới
Xem bản gốcTrả lời0
StablecoinAnxiety
· 07-21 15:56
Không nói nên lời nữa, lại có lỗ hổng.
Xem bản gốcTrả lời0
StakeWhisperer
· 07-21 15:55
Hợp đồng được xem xét tốt, mất tiền ít ít ít
Xem bản gốcTrả lời0
BackrowObserver
· 07-21 15:53
Mất mát còn không đủ để tôi mua một chai nước uống.
Phân tích những rủi ro an toàn của hợp đồng NFT: nhìn từ các sự kiện thường xuyên để thấy các lỗ hổng phổ biến và biện pháp phòng ngừa.
Phân tích an toàn hợp đồng NFT và thảo luận về các vấn đề thường gặp
Trong nửa đầu năm 2022, lĩnh vực NFT đã xảy ra nhiều sự kiện an ninh, gây ra thiệt hại không nhỏ cho ngành. Theo thống kê, trong thời gian này đã xảy ra 10 sự kiện an ninh chính, gây thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, tấn công lừa đảo trên nền tảng Discord đặc biệt hoành hành, gần như hàng ngày có máy chủ bị tấn công, dẫn đến việc người dùng cá nhân thường xuyên bị thiệt hại.
Trong số những sự kiện an ninh này, có một vài sự kiện đặc biệt đáng chú ý:
Sự kiện TreasureDAO: Do sự kết hợp sử dụng mã thông báo ERC-1155 và ERC-721 dẫn đến sự lộn xộn trong logic, hacker đã thành công trong việc đánh cắp hơn 100 NFT.
Sự kiện airdrop APE Coin: Hacker đã sử dụng khoản vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Điều này đã phơi bày lỗ hổng trong hợp đồng airdrop khi xác định quyền sở hữu NFT.
Sự kiện Revest Finance: Do lỗ hổng tái nhập ERC-1155, dự án đã mất khoảng 120.000 đô la.
Dự án NBA gặp phải tấn công: Vấn đề giả mạo chữ ký và tái sử dụng dẫn đến việc xác thực danh sách trắng không còn hiệu lực.
Sự kiện Akutar: Do lỗ hổng logic hợp đồng thông minh, khoảng 34 triệu USD tài sản bị khóa trong hợp đồng.
Sự kiện XCarnival: Lỗ hổng logic hợp đồng dẫn đến việc hacker thu lợi khoảng 3,8 triệu USD.
Những sự kiện này đã tiết lộ một số vấn đề phổ biến trong quá trình thiết kế và thực hiện hợp đồng NFT. Đội ngũ kiểm toán chuyên nghiệp thường phát hiện những loại vấn đề sau đây khi xem xét hợp đồng NFT:
Giả mạo và tái sử dụng chữ ký: Thiếu kiểm tra xác nhận thực hiện lại hoặc kiểm tra chữ ký không hợp lý, dẫn đến chữ ký có thể được sử dụng nhiều lần hoặc bị bất kỳ người dùng nào thông qua kiểm tra.
Lỗ hổng logic: chẳng hạn như kiểm soát tổng lượng tiền tệ không đúng cách, các lỗ hổng trong quá trình đấu giá, v.v.
Tấn công tái nhập ERC721/ERC1155: Có thể gây ra tấn công tái nhập khi sử dụng chức năng thông báo chuyển tiền.
Phạm vi ủy quyền quá lớn: Người dùng trong một số thao tác có thể bị yêu cầu ủy quyền quá mức, làm tăng rủi ro bị đánh cắp NFT.
Kiểm soát giá: Khi giá NFT phụ thuộc vào một số yếu tố có thể bị thao túng, điều này có thể dẫn đến việc thanh lý bất thường.
Các vấn đề này thường xuất hiện trong các cuộc tấn công thực tế, làm nổi bật tầm quan trọng của việc thực hiện kiểm toán an ninh chuyên nghiệp cho hợp đồng NFT. Các bên dự án nên coi trọng an ninh hợp đồng, chọn các công ty an ninh chuyên nghiệp để thực hiện kiểm toán toàn diện, nhằm giảm thiểu rủi ro an ninh và bảo vệ quyền lợi của người dùng.