Phân tích vấn đề an toàn hợp đồng NFT và phân tích những rủi ro phổ biến
Trong nửa đầu năm 2022, lĩnh vực NFT xảy ra nhiều sự cố an ninh, gây ra thiệt hại kinh tế lớn. Theo một nền tảng an ninh blockchain, trong thời gian này đã xảy ra tổng cộng 10 sự cố an ninh NFT nghiêm trọng, với tổng thiệt hại khoảng 6.490.000 USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, các cuộc tấn công lừa đảo trên nền tảng Discord đặc biệt bùng nổ, gần như mỗi ngày đều có máy chủ bị tấn công, dẫn đến thiệt hại tài sản của người dùng.
Nhìn lại các sự kiện an toàn điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị hacker xâm nhập, hơn 100 NFT đã bị đánh cắp. Nguyên nhân của sự kiện là do tồn tại lỗ hổng logic trong hợp đồng, việc sử dụng hỗn hợp token ERC-1155 và ERC-721 đã dẫn đến lỗi tính toán, khiến kẻ tấn công có thể mua NFT với chi phí bằng không.
Lỗi airdrop APE Coin
Vào ngày 17 tháng 3, hacker đã sử dụng vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Lỗ hổng nằm ở chỗ hợp đồng airdrop chỉ kiểm tra quyền sở hữu tạm thời của người gọi đối với NFT, không xem xét những ảnh hưởng có thể đến từ vay chớp nhoáng.
Revest Finance đã gặp phải cuộc tấn công tái nhập
Vào ngày 27 tháng 3, dự án Revest Finance đã mất 120.000 đô la. Kẻ tấn công đã lợi dụng lỗ hổng tái nhập trong tiêu chuẩn ERC-1155 để thực hiện cuộc tấn công tái nhập trong quá trình đúc FNFT.
Lỗ hổng chữ ký dự án NBA
Vào ngày 21 tháng 4, dự án NFT liên quan đến NBA đã bị tấn công. Vấn đề nằm ở cơ chế xác thực danh sách trắng, có hai lỗ hổng chính là giả mạo chữ ký và tái sử dụng.
Sự kiện khóa hợp đồng Akutar
Vào ngày 23 tháng 4, dự án Akutar đã bị khóa vĩnh viễn 11.539 ETH trị giá 34 triệu USD trong hợp đồng do lỗ hổng hợp đồng thông minh. Nguyên nhân chính là do lỗi thiết kế logic của hàm hoàn trả.
Tấn công nền tảng cho vay XCarnival
Vào ngày 24 tháng 6, giao thức cho vay NFT XCarnival đã bị hacker tấn công, thiệt hại khoảng 3,8 triệu đô la. Kẻ tấn công đã lợi dụng lỗ hổng logic trong hợp đồng, tái sử dụng các hồ sơ thế chấp không hợp lệ để thực hiện giao dịch vay.
Những rủi ro bảo mật thường gặp trong hợp đồng NFT
Thông qua việc phân tích các sự kiện trên, chúng ta có thể tổng kết ra một số loại vấn đề bảo mật thường gặp trong hợp đồng NFT:
Thiếu sót trong cơ chế ký: bao gồm vấn đề tái sử dụng và giả mạo chữ ký.
Lỗi thiết kế logic: như hạn chế đúc tiền không hợp lý, thiếu sót trong logic đấu giá, v.v.
Vấn đề thực hiện tiêu chuẩn ERC721/ERC1155: Đặc biệt là rủi ro tấn công tái nhập.
Ủy quyền quá mức: Phạm vi ủy quyền của người dùng quá lớn, làm tăng rủi ro bị đánh cắp tài sản.
Thao túng giá: Cơ chế định giá NFT có thể bị lợi dụng một cách ác ý.
Các vấn đề này phản ánh rằng nhiều dự án NFT trong quá trình phát triển và triển khai hợp đồng đã bỏ qua việc kiểm toán an ninh toàn diện. Để giảm thiểu rủi ro an ninh, các bên dự án NFT nên chú trọng đến việc kiểm toán hợp đồng, thuê đội ngũ an ninh chuyên nghiệp để thực hiện đánh giá toàn diện và sửa chữa lỗ hổng. Đồng thời, người dùng cũng nên giữ cảnh giác khi tham gia vào các dự án NFT và chú ý bảo vệ an toàn tài sản cá nhân.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
15 thích
Phần thưởng
15
6
Chia sẻ
Bình luận
0/400
WalletWhisperer
· 07-08 19:25
又被 chơi đùa với mọi người的流血了~
Xem bản gốcTrả lời0
AirDropMissed
· 07-08 16:14
Câu cá và trộm cắp, cảm giác chỉ có tài khoản của tôi an toàn.
Xem bản gốcTrả lời0
GateUser-bd883c58
· 07-08 16:14
đồ ngốc又被 chơi đùa với mọi người啦
Xem bản gốcTrả lời0
CommunityLurker
· 07-08 16:13
đồ ngốc互相 chơi đùa với mọi người.....người dùng cầu sinh欲真高
Xem bản gốcTrả lời0
SignatureDenied
· 07-08 16:12
Chỉ có tổn thất này mà cũng gọi là nghiêm trọng?
Xem bản gốcTrả lời0
BlockImposter
· 07-08 16:10
Được chơi cho Suckers phương pháp đã trở nên tinh vi hơn
Phân tích sáu rủi ro an toàn của hợp đồng NFT, sự cố xảy ra thường xuyên gây thiệt hại gần 65 triệu USD
Phân tích vấn đề an toàn hợp đồng NFT và phân tích những rủi ro phổ biến
Trong nửa đầu năm 2022, lĩnh vực NFT xảy ra nhiều sự cố an ninh, gây ra thiệt hại kinh tế lớn. Theo một nền tảng an ninh blockchain, trong thời gian này đã xảy ra tổng cộng 10 sự cố an ninh NFT nghiêm trọng, với tổng thiệt hại khoảng 6.490.000 USD. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, các cuộc tấn công lừa đảo trên nền tảng Discord đặc biệt bùng nổ, gần như mỗi ngày đều có máy chủ bị tấn công, dẫn đến thiệt hại tài sản của người dùng.
Nhìn lại các sự kiện an toàn điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị hacker xâm nhập, hơn 100 NFT đã bị đánh cắp. Nguyên nhân của sự kiện là do tồn tại lỗ hổng logic trong hợp đồng, việc sử dụng hỗn hợp token ERC-1155 và ERC-721 đã dẫn đến lỗi tính toán, khiến kẻ tấn công có thể mua NFT với chi phí bằng không.
Lỗi airdrop APE Coin
Vào ngày 17 tháng 3, hacker đã sử dụng vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Lỗ hổng nằm ở chỗ hợp đồng airdrop chỉ kiểm tra quyền sở hữu tạm thời của người gọi đối với NFT, không xem xét những ảnh hưởng có thể đến từ vay chớp nhoáng.
Revest Finance đã gặp phải cuộc tấn công tái nhập
Vào ngày 27 tháng 3, dự án Revest Finance đã mất 120.000 đô la. Kẻ tấn công đã lợi dụng lỗ hổng tái nhập trong tiêu chuẩn ERC-1155 để thực hiện cuộc tấn công tái nhập trong quá trình đúc FNFT.
Lỗ hổng chữ ký dự án NBA
Vào ngày 21 tháng 4, dự án NFT liên quan đến NBA đã bị tấn công. Vấn đề nằm ở cơ chế xác thực danh sách trắng, có hai lỗ hổng chính là giả mạo chữ ký và tái sử dụng.
Sự kiện khóa hợp đồng Akutar
Vào ngày 23 tháng 4, dự án Akutar đã bị khóa vĩnh viễn 11.539 ETH trị giá 34 triệu USD trong hợp đồng do lỗ hổng hợp đồng thông minh. Nguyên nhân chính là do lỗi thiết kế logic của hàm hoàn trả.
Tấn công nền tảng cho vay XCarnival
Vào ngày 24 tháng 6, giao thức cho vay NFT XCarnival đã bị hacker tấn công, thiệt hại khoảng 3,8 triệu đô la. Kẻ tấn công đã lợi dụng lỗ hổng logic trong hợp đồng, tái sử dụng các hồ sơ thế chấp không hợp lệ để thực hiện giao dịch vay.
Những rủi ro bảo mật thường gặp trong hợp đồng NFT
Thông qua việc phân tích các sự kiện trên, chúng ta có thể tổng kết ra một số loại vấn đề bảo mật thường gặp trong hợp đồng NFT:
Các vấn đề này phản ánh rằng nhiều dự án NFT trong quá trình phát triển và triển khai hợp đồng đã bỏ qua việc kiểm toán an ninh toàn diện. Để giảm thiểu rủi ro an ninh, các bên dự án NFT nên chú trọng đến việc kiểm toán hợp đồng, thuê đội ngũ an ninh chuyên nghiệp để thực hiện đánh giá toàn diện và sửa chữa lỗ hổng. Đồng thời, người dùng cũng nên giữ cảnh giác khi tham gia vào các dự án NFT và chú ý bảo vệ an toàn tài sản cá nhân.