Phân tích lỗ hổng bảo mật hợp đồng NFT và các trường hợp điển hình
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra thiệt hại kinh tế nghiêm trọng. Theo thống kê, có tổng cộng 10 sự kiện an ninh chính, tổng thiệt hại khoảng 64,9 triệu đô la Mỹ. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, các cuộc tấn công lừa đảo trên nền tảng Discord gần như diễn ra mỗi ngày, gây thiệt hại không nhỏ cho người dùng cá nhân.
Phân tích sự kiện an ninh điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công, dẫn đến việc hơn 100 NFT bị đánh cắp. Nguyên nhân cơ bản của sự cố là sự nhầm lẫn logic do việc sử dụng đồng thời các mã thông báo ERC-1155 và ERC-721. Hợp đồng khi xử lý giá mua mã thông báo đã không phân biệt đặc điểm của hai loại mã thông báo này, sai lầm khi coi mã thông báo ERC-721 là mã thông báo có khái niệm số lượng.
sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, hacker đã thu được hơn 60.000 APE Coin airdrop thông qua vay chớp nhoáng. Lỗi tồn tại trong hợp đồng airdrop, hợp đồng chỉ kiểm tra số dư NFT hiện tại của người dùng để xác định đủ điều kiện airdrop, và cách này dễ bị thao túng bởi vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công, gây thiệt hại khoảng 120.000 đô la. Đây là một cuộc tấn công điển hình kiểu tái nhập ERC-1155. Trong quá trình đúc FNFT, hợp đồng không xử lý đúng cách việc tự tăng ID token và kiểm tra sự tồn tại, dẫn đến lỗ hổng tái nhập.
Sự kiện NBA hái lông cừu
Vào ngày 21 tháng 4 năm 2022, dự án NBA đã bị tấn công. Vấn đề nằm ở cơ chế xác thực chữ ký của danh sách trắng, có hai vấn đề chính là giả mạo và tái sử dụng chữ ký. Hợp đồng không lưu trữ chữ ký đã được sử dụng và không kiểm tra người gửi tin nhắn trong quá trình xác thực, khiến cho kẻ tấn công có thể tái sử dụng hoặc giả mạo chữ ký.
Sự kiện Akutar
Ngày 23 tháng 4 năm 2022, dự án Akutar đã bị khóa khoảng 34 triệu đô la tài sản do lỗ hổng hợp đồng thông minh. Vấn đề chính nằm ở thiết kế logic của hàm hoàn tiền không hợp lý, không thể xử lý tình huống đấu thầu nhiều lần và dễ bị gián đoạn ác ý.
sự kiện XCarnival
Vào ngày 24 tháng 6 năm 2022, XCarnival đã bị tấn công, thiệt hại khoảng 3,8 triệu USD. Lỗ hổng nằm ở chỗ hợp đồng không kiểm tra nghiêm ngặt địa chỉ NFT đã được thế chấp và trạng thái hồ sơ thế chấp, cho phép kẻ tấn công có thể sử dụng nhiều lần hồ sơ thế chấp không hợp lệ để vay mượn.
Vấn đề an ninh thường gặp trong hợp đồng NFT
Lợi dụng và tái sử dụng chữ ký: Thiếu kiểm tra việc sử dụng lại chữ ký, logic xác thực chữ ký không chặt chẽ.
Lỗ hổng logic: Phương thức đúc tiền đặc biệt vượt qua giới hạn tổng số, thứ tự giao dịch trong quá trình đấu giá phụ thuộc vào tấn công.
Tấn công tái nhập ERC721/ERC1155: Có thể gây ra rủi ro tái nhập trong chức năng thông báo chuyển tiền.
Quyền truy cập quá mức: yêu cầu người dùng thực hiện quyền truy cập toàn diện không cần thiết, làm tăng rủi ro bị đánh cắp NFT.
Thao túng giá: Giá NFT phụ thuộc vào các chỉ số dễ bị thao túng, có thể dẫn đến thanh lý bất thường.
Xét đến tính phức tạp và rủi ro tiềm ẩn của hợp đồng NFT, các bên dự án nên chú trọng công tác kiểm toán an ninh hợp đồng thông minh, thuê đội ngũ an ninh chuyên nghiệp thực hiện kiểm tra toàn diện để phòng ngừa các cuộc tấn công và tổn thất có thể xảy ra.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
8 thích
Phần thưởng
8
8
Chia sẻ
Bình luận
0/400
ser_ngmi
· 07-18 10:08
又是discordPhiếu giảm giá= =
Xem bản gốcTrả lời0
DefiPlaybook
· 07-16 19:28
Dữ liệu chói mắt, thiệt hại 6490 triệu USD trong nửa năm
Xem bản gốcTrả lời0
MemeTokenGenius
· 07-15 14:56
Kiếm tiền sạch trong thời đại này thật sự không dễ.
Xem bản gốcTrả lời0
OptionWhisperer
· 07-15 14:50
Rời xa thực tế, chỉ vì mã viết tồi mà mất gần một tỷ.
Xem bản gốcTrả lời0
GasFeeCryer
· 07-15 14:50
Một hợp đồng thông minh nữa bị lấy đi vài tỷ. Tsk tsk.
Xem bản gốcTrả lời0
GasFeeCry
· 07-15 14:47
Lại thêm một đợt được chơi cho Suckers rồi.
Xem bản gốcTrả lời0
VibesOverCharts
· 07-15 14:45
Ăn cắp tiền, người chơi chịu thiệt thòi~
Xem bản gốcTrả lời0
DaoDeveloper
· 07-15 14:35
vừa kiểm toán vụ khai thác treasuredao... thật không thể tin được những điểm yếu trong việc trộn erc này ngày càng trở nên khó kiểm soát.
Lỗ hổng bảo mật hợp đồng NFT thường xuyên xảy ra, thiệt hại gần 65 triệu đô la Mỹ trong nửa đầu năm 2022.
Phân tích lỗ hổng bảo mật hợp đồng NFT và các trường hợp điển hình
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra thiệt hại kinh tế nghiêm trọng. Theo thống kê, có tổng cộng 10 sự kiện an ninh chính, tổng thiệt hại khoảng 64,9 triệu đô la Mỹ. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, các cuộc tấn công lừa đảo trên nền tảng Discord gần như diễn ra mỗi ngày, gây thiệt hại không nhỏ cho người dùng cá nhân.
Phân tích sự kiện an ninh điển hình
Sự kiện TreasureDAO
Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công, dẫn đến việc hơn 100 NFT bị đánh cắp. Nguyên nhân cơ bản của sự cố là sự nhầm lẫn logic do việc sử dụng đồng thời các mã thông báo ERC-1155 và ERC-721. Hợp đồng khi xử lý giá mua mã thông báo đã không phân biệt đặc điểm của hai loại mã thông báo này, sai lầm khi coi mã thông báo ERC-721 là mã thông báo có khái niệm số lượng.
sự kiện airdrop APE Coin
Vào ngày 17 tháng 3 năm 2022, hacker đã thu được hơn 60.000 APE Coin airdrop thông qua vay chớp nhoáng. Lỗi tồn tại trong hợp đồng airdrop, hợp đồng chỉ kiểm tra số dư NFT hiện tại của người dùng để xác định đủ điều kiện airdrop, và cách này dễ bị thao túng bởi vay chớp nhoáng.
Sự kiện Revest Finance
Vào ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công, gây thiệt hại khoảng 120.000 đô la. Đây là một cuộc tấn công điển hình kiểu tái nhập ERC-1155. Trong quá trình đúc FNFT, hợp đồng không xử lý đúng cách việc tự tăng ID token và kiểm tra sự tồn tại, dẫn đến lỗ hổng tái nhập.
Sự kiện NBA hái lông cừu
Vào ngày 21 tháng 4 năm 2022, dự án NBA đã bị tấn công. Vấn đề nằm ở cơ chế xác thực chữ ký của danh sách trắng, có hai vấn đề chính là giả mạo và tái sử dụng chữ ký. Hợp đồng không lưu trữ chữ ký đã được sử dụng và không kiểm tra người gửi tin nhắn trong quá trình xác thực, khiến cho kẻ tấn công có thể tái sử dụng hoặc giả mạo chữ ký.
Sự kiện Akutar
Ngày 23 tháng 4 năm 2022, dự án Akutar đã bị khóa khoảng 34 triệu đô la tài sản do lỗ hổng hợp đồng thông minh. Vấn đề chính nằm ở thiết kế logic của hàm hoàn tiền không hợp lý, không thể xử lý tình huống đấu thầu nhiều lần và dễ bị gián đoạn ác ý.
sự kiện XCarnival
Vào ngày 24 tháng 6 năm 2022, XCarnival đã bị tấn công, thiệt hại khoảng 3,8 triệu USD. Lỗ hổng nằm ở chỗ hợp đồng không kiểm tra nghiêm ngặt địa chỉ NFT đã được thế chấp và trạng thái hồ sơ thế chấp, cho phép kẻ tấn công có thể sử dụng nhiều lần hồ sơ thế chấp không hợp lệ để vay mượn.
Vấn đề an ninh thường gặp trong hợp đồng NFT
Lợi dụng và tái sử dụng chữ ký: Thiếu kiểm tra việc sử dụng lại chữ ký, logic xác thực chữ ký không chặt chẽ.
Lỗ hổng logic: Phương thức đúc tiền đặc biệt vượt qua giới hạn tổng số, thứ tự giao dịch trong quá trình đấu giá phụ thuộc vào tấn công.
Tấn công tái nhập ERC721/ERC1155: Có thể gây ra rủi ro tái nhập trong chức năng thông báo chuyển tiền.
Quyền truy cập quá mức: yêu cầu người dùng thực hiện quyền truy cập toàn diện không cần thiết, làm tăng rủi ro bị đánh cắp NFT.
Thao túng giá: Giá NFT phụ thuộc vào các chỉ số dễ bị thao túng, có thể dẫn đến thanh lý bất thường.
Xét đến tính phức tạp và rủi ro tiềm ẩn của hợp đồng NFT, các bên dự án nên chú trọng công tác kiểm toán an ninh hợp đồng thông minh, thuê đội ngũ an ninh chuyên nghiệp thực hiện kiểm tra toàn diện để phòng ngừa các cuộc tấn công và tổn thất có thể xảy ra.