Phân tích các vấn đề thường gặp trong kiểm toán an ninh hợp đồng NFT
Trong nửa đầu năm 2022, lĩnh vực NFT đã xảy ra nhiều sự kiện an ninh, gây ra thiệt hại khoảng 64,9 triệu USD. Các hình thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Những sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán an ninh hợp đồng NFT.
Nhìn lại các sự kiện an toàn điển hình
Sự kiện TreasureDAO: Do lỗ hổng logic gây ra bởi việc trộn lẫn token ERC-1155 và ERC-721, kẻ tấn công đã có thể mua NFT với việc trả 0 token.
Sự kiện airdrop APE Coin: Hợp đồng airdrop đã sử dụng trạng thái tạm thời có thể bị thao túng bởi vay chớp nhoáng để xác định quyền sở hữu NFT, dẫn đến việc kẻ tấn công có thể vay NFT và nhận airdrop.
Sự kiện Revest Finance: Lỗ hổng tái nhập ERC-1155 đã cho phép kẻ tấn công đúc lại FNFT nhiều lần, gây thiệt hại khoảng 120.000 USD.
Sự kiện khai thác dự án NBA: Vấn đề xác thực chữ ký trong hợp đồng có sự giả mạo và tái sử dụng, cho phép kẻ tấn công lạm dụng hoặc tái sử dụng chữ ký.
Sự kiện Akutar: Lỗ hổng logic hợp đồng dẫn đến khoảng 34 triệu đô la tài sản bị khóa, nguyên nhân chính là không xem xét trường hợp người dùng có thể đấu thầu nhiều NFT.
Sự kiện XCarnival: Lỗ hổng logic trong hợp đồng cho phép kẻ tấn công sử dụng nhiều lần các ghi chép thế chấp không hợp lệ để vay mượn, gây thiệt hại khoảng 3,8 triệu đô la.
Các câu hỏi thường gặp trong kiểm toán hợp đồng NFT
Giả mạo và tái sử dụng chữ ký
Thiếu kiểm tra thực thi lặp lại, chẳng hạn như nonce của người dùng
Kiểm tra chữ ký không hợp lý, như không kiểm tra trường hợp người ký là địa chỉ không.
Lỗi logic
Quản trị viên có thể vượt qua giới hạn tổng số để đúc tiền.
Trong quá trình đấu giá có rủi ro tấn công phụ thuộc vào thứ tự giao dịch.
Tấn công tái nhập ERC721/ERC1155
Sử dụng chức năng thông báo chuyển khoản có thể dẫn đến tấn công tái nhập
Phạm vi ủy quyền quá lớn
Yêu cầu ủy quyền toàn cầu thay vì ủy quyền cho từng token, tăng nguy cơ NFT bị đánh cắp.
Kiểm soát giá
Giá NFT phụ thuộc vào các yếu tố bên ngoài có thể bị thao túng, chẳng hạn như số lượng token sở hữu.
Những vấn đề này thường xuất hiện trong các cuộc tấn công thực tế, nhấn mạnh sự cần thiết của việc kiểm toán an ninh chuyên nghiệp. Các dự án nên coi trọng an toàn hợp đồng và tìm kiếm các tổ chức chuyên nghiệp để thực hiện kiểm toán toàn diện nhằm giảm thiểu rủi ro an ninh.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
19 thích
Phần thưởng
19
6
Chia sẻ
Bình luận
0/400
SchrodingersFOMO
· 07-17 14:07
Mã tử vong không phải là bị mất như vậy.
Xem bản gốcTrả lời0
ForumMiningMaster
· 07-14 15:37
Tsk tsk, lại là bài học đắt giá từ việc dự án bị đánh cắp.
Xem bản gốcTrả lời0
GweiWatcher
· 07-14 15:37
Lại lỗ nữa rồi, thiệt hại có chút nặng nề.
Xem bản gốcTrả lời0
ProposalDetective
· 07-14 15:34
6490w thật thảm hại quá
Xem bản gốcTrả lời0
screenshot_gains
· 07-14 15:28
Đã nói bao nhiêu lần rồi, đã đến lúc Rug Pull.
Xem bản gốcTrả lời0
DefiPlaybook
· 07-14 15:15
Cầu sinh không thể, tôi quá hiểu về an toàn hợp đồng.
Kiểm toán hợp đồng NFT: Phân tích 6 lỗ hổng nguy hiểm cao và sự kiện an ninh
Phân tích các vấn đề thường gặp trong kiểm toán an ninh hợp đồng NFT
Trong nửa đầu năm 2022, lĩnh vực NFT đã xảy ra nhiều sự kiện an ninh, gây ra thiệt hại khoảng 64,9 triệu USD. Các hình thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Những sự kiện này làm nổi bật tầm quan trọng của việc kiểm toán an ninh hợp đồng NFT.
Nhìn lại các sự kiện an toàn điển hình
Sự kiện TreasureDAO: Do lỗ hổng logic gây ra bởi việc trộn lẫn token ERC-1155 và ERC-721, kẻ tấn công đã có thể mua NFT với việc trả 0 token.
Sự kiện airdrop APE Coin: Hợp đồng airdrop đã sử dụng trạng thái tạm thời có thể bị thao túng bởi vay chớp nhoáng để xác định quyền sở hữu NFT, dẫn đến việc kẻ tấn công có thể vay NFT và nhận airdrop.
Sự kiện Revest Finance: Lỗ hổng tái nhập ERC-1155 đã cho phép kẻ tấn công đúc lại FNFT nhiều lần, gây thiệt hại khoảng 120.000 USD.
Sự kiện khai thác dự án NBA: Vấn đề xác thực chữ ký trong hợp đồng có sự giả mạo và tái sử dụng, cho phép kẻ tấn công lạm dụng hoặc tái sử dụng chữ ký.
Sự kiện Akutar: Lỗ hổng logic hợp đồng dẫn đến khoảng 34 triệu đô la tài sản bị khóa, nguyên nhân chính là không xem xét trường hợp người dùng có thể đấu thầu nhiều NFT.
Sự kiện XCarnival: Lỗ hổng logic trong hợp đồng cho phép kẻ tấn công sử dụng nhiều lần các ghi chép thế chấp không hợp lệ để vay mượn, gây thiệt hại khoảng 3,8 triệu đô la.
Các câu hỏi thường gặp trong kiểm toán hợp đồng NFT
Giả mạo và tái sử dụng chữ ký
Lỗi logic
Tấn công tái nhập ERC721/ERC1155
Phạm vi ủy quyền quá lớn
Kiểm soát giá
Những vấn đề này thường xuất hiện trong các cuộc tấn công thực tế, nhấn mạnh sự cần thiết của việc kiểm toán an ninh chuyên nghiệp. Các dự án nên coi trọng an toàn hợp đồng và tìm kiếm các tổ chức chuyên nghiệp để thực hiện kiểm toán toàn diện nhằm giảm thiểu rủi ro an ninh.