Analisis Keamanan Kontrak NFT: Peristiwa Utama dan Masalah Umum di Paruh Pertama Tahun Ini
Pada paruh pertama tahun 2022, terdapat beberapa insiden keamanan di bidang NFT yang menyebabkan kerugian besar. Menurut statistik data, selama periode ini terjadi total 10 insiden keamanan NFT utama, dengan total kerugian sekitar 64,9 juta dolar AS. Metode serangan yang paling umum termasuk eksploitasi celah kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa insiden phishing di platform Discord sering terjadi, hampir setiap hari ada server yang diserang, mengakibatkan kerugian yang sering dialami oleh pengguna individu.
Analisis Kejadian Keamanan yang Khas
Peristiwa TreasureDAO
Pada 3 Maret, platform perdagangan TreasureDAO mengalami serangan, lebih dari 100 NFT dicuri. Penyebabnya adalah adanya celah logika dalam kontrak, penggunaan campuran token ERC-1155 dan ERC-721 menyebabkan kebingungan logika. Kontrak tidak melakukan penilaian terhadap jenis token, memungkinkan pembelian token saat jumlah token ERC-20 yang dibayar adalah 0.
peristiwa airdrop APE Coin
Pada 17 Maret, peretas memanfaatkan pinjaman kilat untuk mendapatkan lebih dari 60.000 airdrop APE Coin. Kerentanan terletak pada kontrak airdrop yang hanya menentukan kepemilikan NFT melalui status instan, dan status ini dapat dikendalikan oleh pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret, Revest Finance diserang, mengalami kerugian sebesar 120.000 USD. Penyebabnya adalah celah reentrancy ERC-1155, kontrak tidak memeriksa apakah FNFT baru sudah ada saat mencetak, dan variabel status bertambah setelah fungsi pencetakan, yang menyebabkan serangan reentrancy.
NBA peristiwa memburu keuntungan
Pada 21 April, proyek NBA diserang. Masalahnya terletak pada cara verifikasi tanda tangan pada whitelist, yang memiliki dua risiko keamanan yaitu penyalahgunaan tanda tangan dan penggunaan kembali.
Akutar事件
Pada 23 April, celah kontrak proyek Akutar menyebabkan aset senilai 34 juta dolar terkunci. Penyebab utamanya adalah kesalahan logika fungsi pengembalian dana, yang tidak mempertimbangkan situasi di mana pengguna dapat menawar beberapa NFT.
Peristiwa XCarnival
Pada 24 Juni, XCarnival diserang, kehilangan sekitar 3,8 juta dolar AS. Kerentanan terletak pada kontrak yang tidak memeriksa validitas alamat xToken dari NFT yang dipertaruhkan, dan tidak melakukan deteksi status catatan jaminan.
Pertanyaan Umum tentang Kontrak NFT
Penyalahgunaan dan penggunaan ulang tanda tangan: kurangnya verifikasi eksekusi ulang, pemeriksaan tanda tangan yang tidak masuk akal.
Celah logika: Administrator dapat melewati batas total dalam pencetakan koin, terdapat risiko serangan ketergantungan urutan transaksi dalam lelang.
Serangan reentrancy ERC721/ERC1155: Menggunakan fungsi notifikasi transfer dapat menyebabkan reentrancy.
Ruang lingkup otorisasi terlalu besar: meminta otorisasi global daripada otorisasi token tunggal, meningkatkan risiko pencurian NFT.
Manipulasi harga: Harga NFT bergantung pada jumlah kepemilikan token kontrak eksternal, mudah terpengaruh oleh pinjaman kilat.
Mengingat masalah umum ini, melakukan audit keamanan profesional pada kontrak NFT menjadi sangat penting. Pihak proyek harus memperhatikan keamanan kontrak untuk mencegah potensi kerugian besar.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Suka
Hadiah
10
4
Posting ulang
Bagikan
Komentar
0/400
BearMarketSurvivor
· 14jam yang lalu
Setiap tahun ada celah kontrak, setiap hari para suckers kehilangan uang.
Lihat AsliBalas0
HashBandit
· 08-09 15:37
bruh, sama saja dengan kekacauan kontrak yang lama... mengingatkanku pada rig penambangan gpu saya yang terbakar pada tahun 2017 smh
Lihat AsliBalas0
WalletDivorcer
· 08-09 15:24
Siapa yang dompetnya hilang lagi
Lihat AsliBalas0
ZeroRushCaptain
· 08-09 15:22
Mesin penarik uang yang kehilangan uang hingga turun ke nol dengan kecepatan cahaya, kini telah dipotong oleh kolam ikan.
Peringatan Keamanan Kontrak NFT: Tinjauan Peristiwa dan Analisis Risiko Paruh Pertama 2022
Analisis Keamanan Kontrak NFT: Peristiwa Utama dan Masalah Umum di Paruh Pertama Tahun Ini
Pada paruh pertama tahun 2022, terdapat beberapa insiden keamanan di bidang NFT yang menyebabkan kerugian besar. Menurut statistik data, selama periode ini terjadi total 10 insiden keamanan NFT utama, dengan total kerugian sekitar 64,9 juta dolar AS. Metode serangan yang paling umum termasuk eksploitasi celah kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa insiden phishing di platform Discord sering terjadi, hampir setiap hari ada server yang diserang, mengakibatkan kerugian yang sering dialami oleh pengguna individu.
Analisis Kejadian Keamanan yang Khas
Peristiwa TreasureDAO
Pada 3 Maret, platform perdagangan TreasureDAO mengalami serangan, lebih dari 100 NFT dicuri. Penyebabnya adalah adanya celah logika dalam kontrak, penggunaan campuran token ERC-1155 dan ERC-721 menyebabkan kebingungan logika. Kontrak tidak melakukan penilaian terhadap jenis token, memungkinkan pembelian token saat jumlah token ERC-20 yang dibayar adalah 0.
peristiwa airdrop APE Coin
Pada 17 Maret, peretas memanfaatkan pinjaman kilat untuk mendapatkan lebih dari 60.000 airdrop APE Coin. Kerentanan terletak pada kontrak airdrop yang hanya menentukan kepemilikan NFT melalui status instan, dan status ini dapat dikendalikan oleh pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret, Revest Finance diserang, mengalami kerugian sebesar 120.000 USD. Penyebabnya adalah celah reentrancy ERC-1155, kontrak tidak memeriksa apakah FNFT baru sudah ada saat mencetak, dan variabel status bertambah setelah fungsi pencetakan, yang menyebabkan serangan reentrancy.
NBA peristiwa memburu keuntungan
Pada 21 April, proyek NBA diserang. Masalahnya terletak pada cara verifikasi tanda tangan pada whitelist, yang memiliki dua risiko keamanan yaitu penyalahgunaan tanda tangan dan penggunaan kembali.
Akutar事件
Pada 23 April, celah kontrak proyek Akutar menyebabkan aset senilai 34 juta dolar terkunci. Penyebab utamanya adalah kesalahan logika fungsi pengembalian dana, yang tidak mempertimbangkan situasi di mana pengguna dapat menawar beberapa NFT.
Peristiwa XCarnival
Pada 24 Juni, XCarnival diserang, kehilangan sekitar 3,8 juta dolar AS. Kerentanan terletak pada kontrak yang tidak memeriksa validitas alamat xToken dari NFT yang dipertaruhkan, dan tidak melakukan deteksi status catatan jaminan.
Pertanyaan Umum tentang Kontrak NFT
Penyalahgunaan dan penggunaan ulang tanda tangan: kurangnya verifikasi eksekusi ulang, pemeriksaan tanda tangan yang tidak masuk akal.
Celah logika: Administrator dapat melewati batas total dalam pencetakan koin, terdapat risiko serangan ketergantungan urutan transaksi dalam lelang.
Serangan reentrancy ERC721/ERC1155: Menggunakan fungsi notifikasi transfer dapat menyebabkan reentrancy.
Ruang lingkup otorisasi terlalu besar: meminta otorisasi global daripada otorisasi token tunggal, meningkatkan risiko pencurian NFT.
Manipulasi harga: Harga NFT bergantung pada jumlah kepemilikan token kontrak eksternal, mudah terpengaruh oleh pinjaman kilat.
Mengingat masalah umum ini, melakukan audit keamanan profesional pada kontrak NFT menjadi sangat penting. Pihak proyek harus memperhatikan keamanan kontrak untuk mencegah potensi kerugian besar.