Analisis Kerentanan Keamanan Kontrak NFT dan Kasus-Kasus Tipikal
Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT sering terjadi, menyebabkan kerugian ekonomi yang signifikan. Menurut statistik, terdapat total 10 insiden keamanan utama, dengan total kerugian sekitar 64,9 juta dolar AS. Metode serangan terutama mencakup eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa serangan phishing di platform Discord hampir terjadi setiap hari, menyebabkan kerugian yang tidak sedikit bagi pengguna individu.
Analisis Kejadian Keamanan Khas
Peristiwa TreasureDAO
Pada tanggal 3 Maret 2022, platform perdagangan TreasureDAO diserang, yang mengakibatkan lebih dari 100 NFT dicuri. Penyebab mendasar dari insiden ini adalah kebingungan logika yang disebabkan oleh penggunaan campuran token ERC-1155 dan ERC-721. Kontrak tidak membedakan karakteristik kedua jenis token saat menangani harga pembelian token, secara keliru menganggap token ERC-721 sebagai token yang memiliki konsep jumlah.
peristiwa airdrop APE Coin
Pada 17 Maret 2022, peretas memperoleh lebih dari 60.000 APE Coin airdrop melalui pinjaman kilat. Kerentanan ada dalam kontrak airdrop, di mana kontrak hanya memeriksa saldo NFT pengguna saat ini untuk menentukan kelayakan airdrop, dan cara ini mudah dimanipulasi oleh pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance diserang dan kehilangan sekitar 120.000 USD. Ini adalah contoh tipikal dari serangan reentrancy ERC-1155. Selama proses pencetakan FNFT, kontrak gagal menangani dengan benar auto-increment dan pemeriksaan keberadaan ID token, yang menyebabkan celah reentrancy.
NBA skandal meraup keuntungan
Pada 21 April 2022, proyek NBA mengalami serangan. Masalah terletak pada mekanisme tanda tangan verifikasi whitelist, yang memiliki dua masalah utama yaitu penyalahgunaan dan penggunaan kembali tanda tangan. Kontrak tidak menyimpan tanda tangan yang telah digunakan, dan saat verifikasi tidak memeriksa pengirim pesan, sehingga penyerang dapat menggunakan kembali atau menyalahgunakan tanda tangan.
Akutar事件
Pada 23 April 2022, proyek Akutar mengalami masalah akibat celah pada kontrak pintar, yang menyebabkan sekitar 34 juta dolar AS aset terkunci. Masalah utama terletak pada desain logika fungsi pengembalian dana yang tidak tepat, tidak mampu menangani situasi penawaran ganda, dan rentan terhadap gangguan jahat.
Peristiwa XCarnival
Pada 24 Juni 2022, XCarnival diserang, dengan kerugian sekitar 3,8 juta dolar AS. Kerentanan terletak pada kontrak yang tidak melakukan pemeriksaan ketat terhadap alamat NFT yang dipertaruhkan dan status catatan jaminan, sehingga penyerang dapat menggunakan catatan jaminan yang tidak valid berulang kali untuk melakukan pinjaman.
Masalah Keamanan Umum pada Kontrak NFT
Penyalahgunaan dan penggunaan kembali tanda tangan: kurangnya pemeriksaan penggunaan ulang tanda tangan, logika verifikasi tanda tangan tidak ketat.
Celah logika: Metode pencetakan koin khusus menghindari batasan total, urutan transaksi dalam proses lelang tergantung pada serangan.
Serangan reentrancy ERC721/ERC1155: Risiko reentrancy mungkin terjadi dalam fungsi notifikasi transfer.
Otorisasi Berlebihan: Meminta pengguna untuk memberikan otorisasi penuh yang tidak perlu, meningkatkan risiko pencurian NFT.
Manipulasi harga: Harga NFT bergantung pada indikator yang mudah dimanipulasi, yang dapat menyebabkan likuidasi yang tidak normal.
Mengingat kompleksitas dan risiko potensial dari kontrak NFT, pihak proyek harus memperhatikan pekerjaan audit keamanan kontrak cerdas, dengan mempekerjakan tim keamanan profesional untuk melakukan pemeriksaan menyeluruh, guna mencegah kemungkinan serangan dan kerugian.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
8 Suka
Hadiah
8
8
Bagikan
Komentar
0/400
ser_ngmi
· 07-18 10:08
又是discordKupon Klip= =
Lihat AsliBalas0
DefiPlaybook
· 07-16 19:28
Data mencolok, kehilangan 6490w dolar AS dalam enam bulan
Lihat AsliBalas0
MemeTokenGenius
· 07-15 14:56
Di zaman ini, uang bersih memang sulit didapat.
Lihat AsliBalas0
OptionWhisperer
· 07-15 14:50
Sangat jauh dari kenyataan, hanya karena kode ditulis buruk, hampir satu miliar hilang.
Lihat AsliBalas0
GasFeeCryer
· 07-15 14:50
Satu lagi smart contract dicuri beberapa ratus juta. Tsk tsk.
Lihat AsliBalas0
GasFeeCry
· 07-15 14:47
Sekali lagi datang gelombang Dianggap Bodoh.
Lihat AsliBalas0
VibesOverCharts
· 07-15 14:45
Pencuri mengambil uang, pemain yang menderita~
Lihat AsliBalas0
DaoDeveloper
· 07-15 14:35
baru saja mengaudit eksploitasi treasuredao... smh kerentanan pencampuran erc ini semakin tidak terkendali fr
Keamanan kontrak NFT sering mengalami celah, dengan kerugian hampir 65 juta dolar AS pada paruh pertama tahun 2022.
Analisis Kerentanan Keamanan Kontrak NFT dan Kasus-Kasus Tipikal
Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT sering terjadi, menyebabkan kerugian ekonomi yang signifikan. Menurut statistik, terdapat total 10 insiden keamanan utama, dengan total kerugian sekitar 64,9 juta dolar AS. Metode serangan terutama mencakup eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa serangan phishing di platform Discord hampir terjadi setiap hari, menyebabkan kerugian yang tidak sedikit bagi pengguna individu.
Analisis Kejadian Keamanan Khas
Peristiwa TreasureDAO
Pada tanggal 3 Maret 2022, platform perdagangan TreasureDAO diserang, yang mengakibatkan lebih dari 100 NFT dicuri. Penyebab mendasar dari insiden ini adalah kebingungan logika yang disebabkan oleh penggunaan campuran token ERC-1155 dan ERC-721. Kontrak tidak membedakan karakteristik kedua jenis token saat menangani harga pembelian token, secara keliru menganggap token ERC-721 sebagai token yang memiliki konsep jumlah.
peristiwa airdrop APE Coin
Pada 17 Maret 2022, peretas memperoleh lebih dari 60.000 APE Coin airdrop melalui pinjaman kilat. Kerentanan ada dalam kontrak airdrop, di mana kontrak hanya memeriksa saldo NFT pengguna saat ini untuk menentukan kelayakan airdrop, dan cara ini mudah dimanipulasi oleh pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance diserang dan kehilangan sekitar 120.000 USD. Ini adalah contoh tipikal dari serangan reentrancy ERC-1155. Selama proses pencetakan FNFT, kontrak gagal menangani dengan benar auto-increment dan pemeriksaan keberadaan ID token, yang menyebabkan celah reentrancy.
NBA skandal meraup keuntungan
Pada 21 April 2022, proyek NBA mengalami serangan. Masalah terletak pada mekanisme tanda tangan verifikasi whitelist, yang memiliki dua masalah utama yaitu penyalahgunaan dan penggunaan kembali tanda tangan. Kontrak tidak menyimpan tanda tangan yang telah digunakan, dan saat verifikasi tidak memeriksa pengirim pesan, sehingga penyerang dapat menggunakan kembali atau menyalahgunakan tanda tangan.
Akutar事件
Pada 23 April 2022, proyek Akutar mengalami masalah akibat celah pada kontrak pintar, yang menyebabkan sekitar 34 juta dolar AS aset terkunci. Masalah utama terletak pada desain logika fungsi pengembalian dana yang tidak tepat, tidak mampu menangani situasi penawaran ganda, dan rentan terhadap gangguan jahat.
Peristiwa XCarnival
Pada 24 Juni 2022, XCarnival diserang, dengan kerugian sekitar 3,8 juta dolar AS. Kerentanan terletak pada kontrak yang tidak melakukan pemeriksaan ketat terhadap alamat NFT yang dipertaruhkan dan status catatan jaminan, sehingga penyerang dapat menggunakan catatan jaminan yang tidak valid berulang kali untuk melakukan pinjaman.
Masalah Keamanan Umum pada Kontrak NFT
Penyalahgunaan dan penggunaan kembali tanda tangan: kurangnya pemeriksaan penggunaan ulang tanda tangan, logika verifikasi tanda tangan tidak ketat.
Celah logika: Metode pencetakan koin khusus menghindari batasan total, urutan transaksi dalam proses lelang tergantung pada serangan.
Serangan reentrancy ERC721/ERC1155: Risiko reentrancy mungkin terjadi dalam fungsi notifikasi transfer.
Otorisasi Berlebihan: Meminta pengguna untuk memberikan otorisasi penuh yang tidak perlu, meningkatkan risiko pencurian NFT.
Manipulasi harga: Harga NFT bergantung pada indikator yang mudah dimanipulasi, yang dapat menyebabkan likuidasi yang tidak normal.
Mengingat kompleksitas dan risiko potensial dari kontrak NFT, pihak proyek harus memperhatikan pekerjaan audit keamanan kontrak cerdas, dengan mempekerjakan tim keamanan profesional untuk melakukan pemeriksaan menyeluruh, guna mencegah kemungkinan serangan dan kerugian.