Analisis Masalah Umum dalam Audit Keamanan Kontrak NFT
Pada paruh pertama tahun 2022, terjadi beberapa insiden keamanan di bidang NFT yang menyebabkan kerugian sekitar 64,9 juta dolar AS. Metode serangan utama termasuk eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Insiden-insiden ini menyoroti pentingnya audit keamanan kontrak NFT.
Tinjauan Peristiwa Keamanan Khas
Peristiwa TreasureDAO: Karena penggunaan campuran token ERC-1155 dan ERC-721 yang menyebabkan kerentanan logika, penyerang dapat membeli NFT dengan membayar 0 token.
APE Coin airdrop event: Kontrak airdrop menggunakan status instan yang dapat dimanipulasi oleh pinjaman kilat untuk menentukan kepemilikan NFT, yang memungkinkan penyerang meminjam NFT dan mendapatkan airdrop.
Peristiwa Revest Finance: Kerentanan reentrancy ERC-1155 memungkinkan penyerang untuk mencetak ulang FNFT, menyebabkan kerugian sekitar 120.000 dolar.
Kasus meraup keuntungan dari proyek NBA: Terdapat masalah pemalsuan dan penggunaan ulang tanda tangan dalam kontrak, yang memungkinkan penyerang untuk menggunakan kembali atau memalsukan tanda tangan.
Peristiwa Akutar: Kerentanan logika kontrak menyebabkan aset senilai sekitar 34 juta dolar terkunci, penyebab utamanya adalah tidak mempertimbangkan situasi di mana pengguna dapat mengajukan tawaran untuk beberapa NFT.
Peristiwa XCarnival: Kerentanan logika dalam kontrak memungkinkan penyerang untuk secara berulang menggunakan catatan jaminan yang tidak valid untuk meminjam, menyebabkan kerugian sekitar 3,8 juta dolar.
Masalah Umum dalam Audit Kontrak NFT
Penandatanganan yang disalahgunakan dan digunakan kembali
Kurang verifikasi eksekusi ulang, seperti nonce pengguna
Pemeriksaan tanda tangan tidak wajar, seperti tidak memeriksa keadaan di mana penanda tangan adalah alamat nol.
Celah logika
Administrator dapat melewati batas jumlah untuk mencetak koin
Ada risiko serangan ketergantungan urutan transaksi selama proses lelang.
Serangan reentrancy ERC721/ERC1155
Menggunakan fungsi pemberitahuan transfer dapat menyebabkan serangan reentrancy
Ruang lingkup otorisasi terlalu besar
Meminta izin global alih-alih izin token tunggal, meningkatkan risiko pencurian NFT
Manipulasi harga
Harga NFT tergantung pada faktor eksternal yang dapat dikendalikan, seperti jumlah kepemilikan token.
Masalah ini sering muncul dalam serangan nyata, menekankan pentingnya audit keamanan profesional. Pihak proyek harus memperhatikan keamanan kontrak dan mencari lembaga profesional untuk melakukan audit menyeluruh guna mengurangi risiko keamanan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
19 Suka
Hadiah
19
6
Bagikan
Komentar
0/400
SchrodingersFOMO
· 07-17 14:07
Kunci kematian tidak hilang begitu saja.
Lihat AsliBalas0
ForumMiningMaster
· 07-14 15:37
Tsk tsk, ini adalah pelajaran pahit lagi tentang proyek yang dicuri.
Lihat AsliBalas0
GweiWatcher
· 07-14 15:37
Lagi rugi lagi, kerugian ini agak parah ya.
Lihat AsliBalas0
ProposalDetective
· 07-14 15:34
6490w sangat menyedihkan
Lihat AsliBalas0
screenshot_gains
· 07-14 15:28
Sudah berapa kali saya bilang, saatnya Rug Pull.
Lihat AsliBalas0
DefiPlaybook
· 07-14 15:15
Saya sangat memahami keamanan kontrak, tidak bisa bertahan hidup, terlalu banyak merugikan.
Audit Kontrak NFT: Analisis 6 Kerentanan Tinggi dan Insiden Keamanan
Analisis Masalah Umum dalam Audit Keamanan Kontrak NFT
Pada paruh pertama tahun 2022, terjadi beberapa insiden keamanan di bidang NFT yang menyebabkan kerugian sekitar 64,9 juta dolar AS. Metode serangan utama termasuk eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Insiden-insiden ini menyoroti pentingnya audit keamanan kontrak NFT.
Tinjauan Peristiwa Keamanan Khas
Peristiwa TreasureDAO: Karena penggunaan campuran token ERC-1155 dan ERC-721 yang menyebabkan kerentanan logika, penyerang dapat membeli NFT dengan membayar 0 token.
APE Coin airdrop event: Kontrak airdrop menggunakan status instan yang dapat dimanipulasi oleh pinjaman kilat untuk menentukan kepemilikan NFT, yang memungkinkan penyerang meminjam NFT dan mendapatkan airdrop.
Peristiwa Revest Finance: Kerentanan reentrancy ERC-1155 memungkinkan penyerang untuk mencetak ulang FNFT, menyebabkan kerugian sekitar 120.000 dolar.
Kasus meraup keuntungan dari proyek NBA: Terdapat masalah pemalsuan dan penggunaan ulang tanda tangan dalam kontrak, yang memungkinkan penyerang untuk menggunakan kembali atau memalsukan tanda tangan.
Peristiwa Akutar: Kerentanan logika kontrak menyebabkan aset senilai sekitar 34 juta dolar terkunci, penyebab utamanya adalah tidak mempertimbangkan situasi di mana pengguna dapat mengajukan tawaran untuk beberapa NFT.
Peristiwa XCarnival: Kerentanan logika dalam kontrak memungkinkan penyerang untuk secara berulang menggunakan catatan jaminan yang tidak valid untuk meminjam, menyebabkan kerugian sekitar 3,8 juta dolar.
Masalah Umum dalam Audit Kontrak NFT
Penandatanganan yang disalahgunakan dan digunakan kembali
Celah logika
Serangan reentrancy ERC721/ERC1155
Ruang lingkup otorisasi terlalu besar
Manipulasi harga
Masalah ini sering muncul dalam serangan nyata, menekankan pentingnya audit keamanan profesional. Pihak proyek harus memperhatikan keamanan kontrak dan mencari lembaga profesional untuk melakukan audit menyeluruh guna mengurangi risiko keamanan.