An toàn hợp đồng NFT: Tổng quan sự kiện nửa đầu năm 2022 và phân tích các vấn đề thường gặp
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra tổn thất kinh tế lớn. Theo thống kê từ nền tảng dữ liệu, trong thời gian này đã xảy ra 10 sự kiện an ninh NFT chính, với tổn thất khoảng 6.490.000 đô la. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Trong đó, các cuộc tấn công lừa đảo trên nền tảng Discord đặc biệt hoành hành, gần như mỗi ngày có máy chủ bị tấn công, dẫn đến người dùng thường xuyên chịu thiệt hại.
Nhìn lại các sự kiện an ninh điển hình
Sự kiện TreasureDAO
Ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, hơn 100 NFT đã bị đánh cắp. Nguyên nhân là do hợp đồng có lỗ hổng logic, không phân biệt xử lý giữa token ERC-1155 và ERC-721, dẫn đến việc kẻ tấn công có thể mua NFT mà không tốn chi phí.
Sự kiện airdrop APE Coin
Ngày 17 tháng 3 năm 2022, hacker đã sử dụng vay chớp nhoáng để nhận hơn 60.000 APE Coin airdrop. Lỗ hổng nằm ở chỗ hợp đồng airdrop chỉ kiểm tra trạng thái nắm giữ NFT hiện tại của người dùng, không xem xét sự thay đổi trạng thái tức thì có thể xảy ra do vay chớp nhoáng.
Sự kiện Revest Finance
Ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công, thiệt hại 120.000 USD. Nguyên nhân là do lỗ hổng tái nhập của token ERC-1155, hợp đồng không kiểm tra đầy đủ khi đúc NFT mới.
Sự kiện dự án NBA
Ngày 21 tháng 4 năm 2022, các dự án NFT liên quan đến NBA đã bị tấn công. Vấn đề nằm ở cơ chế xác thực chữ ký, có nguy cơ bị giả mạo và tái sử dụng chữ ký.
Sự kiện Akutar
Ngày 23 tháng 4 năm 2022, dự án Akutar do lỗ hổng logic hợp đồng đã khiến 11,5 nghìn ETH( khoảng 34 triệu USD) bị khóa lại. Nguyên nhân chính là thiết kế hàm hoàn tiền không hợp lý, không xem xét đến trường hợp người dùng đấu thầu nhiều lần.
sự kiện XCarnival
Ngày 24 tháng 6 năm 2022, giao thức cho vay NFT XCarnival đã bị tấn công, thiệt hại 3087 ETH( khoảng 3,8 triệu USD). Lỗi nằm ở việc logic đặt cọc và cho vay có khuyết điểm, không kiểm tra đầy đủ tài sản thế chấp và trạng thái cho vay.
Các vấn đề bảo mật thường gặp của hợp đồng NFT
Thiếu sót trong cơ chế ký: bao gồm vấn đề tái sử dụng và mạo danh chữ ký.
Lỗi logic: như kiểm soát lượng tiền đúc không đúng cách, lỗ hổng đấu giá, v.v.
Tấn công tái nhập ERC721/ERC1155: Có thể gây ra tái nhập trong thông báo chuyển tiền.
Phạm vi ủy quyền quá lớn: Ủy quyền toàn cầu không cần thiết làm tăng rủi ro bị đánh cắp tài sản.
Thao túng giá: Việc phụ thuộc vào nguồn dữ liệu bên ngoài có thể dẫn đến thanh lý bất thường.
Những vấn đề này thường xuất hiện trong các cuộc tấn công thực tế, nhấn mạnh tầm quan trọng của việc thực hiện kiểm toán an ninh toàn diện cho các dự án NFT. Các nhà phát triển nên chú trọng đến an toàn hợp đồng và mời các tổ chức chuyên nghiệp thực hiện kiểm toán để phòng ngừa rủi ro tiềm ẩn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Cảnh báo an toàn hợp đồng NFT: Phân tích lỗ hổng phổ biến với tổn thất 64,90 triệu USD trong nửa đầu năm 2022
An toàn hợp đồng NFT: Tổng quan sự kiện nửa đầu năm 2022 và phân tích các vấn đề thường gặp
Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra tổn thất kinh tế lớn. Theo thống kê từ nền tảng dữ liệu, trong thời gian này đã xảy ra 10 sự kiện an ninh NFT chính, với tổn thất khoảng 6.490.000 đô la. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Trong đó, các cuộc tấn công lừa đảo trên nền tảng Discord đặc biệt hoành hành, gần như mỗi ngày có máy chủ bị tấn công, dẫn đến người dùng thường xuyên chịu thiệt hại.
Nhìn lại các sự kiện an ninh điển hình
Sự kiện TreasureDAO
Ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, hơn 100 NFT đã bị đánh cắp. Nguyên nhân là do hợp đồng có lỗ hổng logic, không phân biệt xử lý giữa token ERC-1155 và ERC-721, dẫn đến việc kẻ tấn công có thể mua NFT mà không tốn chi phí.
Sự kiện airdrop APE Coin
Ngày 17 tháng 3 năm 2022, hacker đã sử dụng vay chớp nhoáng để nhận hơn 60.000 APE Coin airdrop. Lỗ hổng nằm ở chỗ hợp đồng airdrop chỉ kiểm tra trạng thái nắm giữ NFT hiện tại của người dùng, không xem xét sự thay đổi trạng thái tức thì có thể xảy ra do vay chớp nhoáng.
Sự kiện Revest Finance
Ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công, thiệt hại 120.000 USD. Nguyên nhân là do lỗ hổng tái nhập của token ERC-1155, hợp đồng không kiểm tra đầy đủ khi đúc NFT mới.
Sự kiện dự án NBA
Ngày 21 tháng 4 năm 2022, các dự án NFT liên quan đến NBA đã bị tấn công. Vấn đề nằm ở cơ chế xác thực chữ ký, có nguy cơ bị giả mạo và tái sử dụng chữ ký.
Sự kiện Akutar
Ngày 23 tháng 4 năm 2022, dự án Akutar do lỗ hổng logic hợp đồng đã khiến 11,5 nghìn ETH( khoảng 34 triệu USD) bị khóa lại. Nguyên nhân chính là thiết kế hàm hoàn tiền không hợp lý, không xem xét đến trường hợp người dùng đấu thầu nhiều lần.
sự kiện XCarnival
Ngày 24 tháng 6 năm 2022, giao thức cho vay NFT XCarnival đã bị tấn công, thiệt hại 3087 ETH( khoảng 3,8 triệu USD). Lỗi nằm ở việc logic đặt cọc và cho vay có khuyết điểm, không kiểm tra đầy đủ tài sản thế chấp và trạng thái cho vay.
Các vấn đề bảo mật thường gặp của hợp đồng NFT
Thiếu sót trong cơ chế ký: bao gồm vấn đề tái sử dụng và mạo danh chữ ký.
Lỗi logic: như kiểm soát lượng tiền đúc không đúng cách, lỗ hổng đấu giá, v.v.
Tấn công tái nhập ERC721/ERC1155: Có thể gây ra tái nhập trong thông báo chuyển tiền.
Phạm vi ủy quyền quá lớn: Ủy quyền toàn cầu không cần thiết làm tăng rủi ro bị đánh cắp tài sản.
Thao túng giá: Việc phụ thuộc vào nguồn dữ liệu bên ngoài có thể dẫn đến thanh lý bất thường.
Những vấn đề này thường xuất hiện trong các cuộc tấn công thực tế, nhấn mạnh tầm quan trọng của việc thực hiện kiểm toán an ninh toàn diện cho các dự án NFT. Các nhà phát triển nên chú trọng đến an toàn hợp đồng và mời các tổ chức chuyên nghiệp thực hiện kiểm toán để phòng ngừa rủi ro tiềm ẩn.