Laporan Analisis Keamanan Kontrak NFT: Masalah Umum dan Kasus Tipikal
Pada paruh pertama tahun 2022, muncul beberapa insiden keamanan besar di bidang NFT, dengan total kerugian sekitar 64,9 juta USD. Insiden-insiden ini terutama disebabkan oleh eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan serangan phishing. Perlu dicatat bahwa serangan phishing di platform Discord hampir terjadi setiap hari, menyebabkan kerugian yang sering dialami oleh pengguna individu.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret, platform perdagangan TreasureDAO diserang, mengakibatkan lebih dari 100 NFT dicuri. Penyebab mendasar dari kejadian ini adalah kebingungan logika yang disebabkan oleh pencampuran token ERC-1155 dan ERC-721. Kontrak tidak membedakan jenis token, dan secara keliru menggunakan konsep jumlah yang tidak berlaku untuk ERC-721 dalam perhitungan harga.
Acara airdrop APE Coin
Pada 17 Maret, seorang hacker menggunakan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin airdrop. Kerentanan ada dalam kontrak airdrop, di mana kontrak hanya memeriksa kepemilikan NFT secara instan, yang dapat dengan mudah dimanipulasi melalui pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret, Revest Finance diserang, mengalami kerugian sekitar 120.000 USD. Ini adalah kasus serangan reentrancy ERC-1155 yang khas. Kontrak tidak memeriksa dengan cukup saat mencetak FNFT baru, yang menyebabkan munculnya celah reentrancy.
Peristiwa NBA mencuri keuntungan
Pada 21 April, proyek NBA mengalami serangan. Masalah terletak pada mekanisme tanda tangan verifikasi daftar putih, yang memiliki dua masalah utama: penyalahgunaan dan penggunaan kembali tanda tangan. Kontrak tidak menyimpan tanda tangan yang telah digunakan, dan juga tidak melakukan verifikasi yang ketat terhadap penandatangan.
Akutar事件
Pada 23 April, proyek Akutar mengalami penguncian aset senilai 34 juta dolar AS akibat kerentanan kontrak. Masalah utama termasuk kesalahan logika pada fungsi pengembalian dana dan ketidakperhatian terhadap situasi di mana pengguna melakukan tawaran beberapa kali.
Peristiwa XCarnival
Pada 24 Juni, XCarnival diserang, dengan kerugian sekitar 3,8 juta dolar AS. Penyerang memanfaatkan celah logika dalam kontrak selama proses staking NFT dan peminjaman, dengan menggunakan kembali catatan jaminan yang tidak valid untuk melakukan peminjaman.
Masalah Keamanan Umum pada Kontrak NFT
Penyalahgunaan dan penggunaan ulang tanda tangan: Kurangnya verifikasi pelaksanaan ulang dan pemeriksaan validitas penandatangan.
Celah logika: seperti administrator yang melewati batas total dalam mencetak koin, urutan transaksi selama proses lelang bergantung pada serangan, dll.
Serangan reentrancy ERC721/ERC1155: dapat terjadi saat menggunakan fitur notifikasi transfer.
Ruang Lingkup Otorisasi yang Terlalu Besar: Pengguna diminta untuk memberikan otorisasi yang berlebihan dalam beberapa operasi.
Manipulasi harga: Harga NFT tergantung pada faktor eksternal dan dapat dimanipulasi melalui metode seperti pinjaman kilat.
Masalah-masalah ini sering muncul dalam serangan nyata, menyoroti pentingnya audit keamanan profesional. Pihak proyek harus memperhatikan keamanan kontrak dan mencari tim profesional untuk melakukan audit menyeluruh guna mencegah risiko potensial.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
5 Suka
Hadiah
5
4
Bagikan
Komentar
0/400
xSm2
· 1jam yang lalu
APE Bukan proyek dam(?). yang sebenarnya, saya percaya itu begitu di depan mata semua orang, kita akan melirik dalam (investasi) dalam hal waktu SooN.
masih ada hal-hal di pipeline dengan nft dan APE secara spesifik.
film* Waktu
Lihat AsliBalas0
MEVHunterWang
· 7jam yang lalu
Siapa yang bisa menahan gelombang ini yang diperlakukan sebagai orang bodoh, benar-benar telah membakar hampir satu target kecil.
Lihat AsliBalas0
StablecoinGuardian
· 7jam yang lalu
Lihat lihat, satu lagi proyek kanker sudah doomed.
Pada paruh pertama tahun 2022, kejadian keamanan NFT sering terjadi, dan kerentanan kontrak menjadi risiko utama.
Laporan Analisis Keamanan Kontrak NFT: Masalah Umum dan Kasus Tipikal
Pada paruh pertama tahun 2022, muncul beberapa insiden keamanan besar di bidang NFT, dengan total kerugian sekitar 64,9 juta USD. Insiden-insiden ini terutama disebabkan oleh eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan serangan phishing. Perlu dicatat bahwa serangan phishing di platform Discord hampir terjadi setiap hari, menyebabkan kerugian yang sering dialami oleh pengguna individu.
Analisis Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret, platform perdagangan TreasureDAO diserang, mengakibatkan lebih dari 100 NFT dicuri. Penyebab mendasar dari kejadian ini adalah kebingungan logika yang disebabkan oleh pencampuran token ERC-1155 dan ERC-721. Kontrak tidak membedakan jenis token, dan secara keliru menggunakan konsep jumlah yang tidak berlaku untuk ERC-721 dalam perhitungan harga.
Acara airdrop APE Coin
Pada 17 Maret, seorang hacker menggunakan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin airdrop. Kerentanan ada dalam kontrak airdrop, di mana kontrak hanya memeriksa kepemilikan NFT secara instan, yang dapat dengan mudah dimanipulasi melalui pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret, Revest Finance diserang, mengalami kerugian sekitar 120.000 USD. Ini adalah kasus serangan reentrancy ERC-1155 yang khas. Kontrak tidak memeriksa dengan cukup saat mencetak FNFT baru, yang menyebabkan munculnya celah reentrancy.
Peristiwa NBA mencuri keuntungan
Pada 21 April, proyek NBA mengalami serangan. Masalah terletak pada mekanisme tanda tangan verifikasi daftar putih, yang memiliki dua masalah utama: penyalahgunaan dan penggunaan kembali tanda tangan. Kontrak tidak menyimpan tanda tangan yang telah digunakan, dan juga tidak melakukan verifikasi yang ketat terhadap penandatangan.
Akutar事件
Pada 23 April, proyek Akutar mengalami penguncian aset senilai 34 juta dolar AS akibat kerentanan kontrak. Masalah utama termasuk kesalahan logika pada fungsi pengembalian dana dan ketidakperhatian terhadap situasi di mana pengguna melakukan tawaran beberapa kali.
Peristiwa XCarnival
Pada 24 Juni, XCarnival diserang, dengan kerugian sekitar 3,8 juta dolar AS. Penyerang memanfaatkan celah logika dalam kontrak selama proses staking NFT dan peminjaman, dengan menggunakan kembali catatan jaminan yang tidak valid untuk melakukan peminjaman.
Masalah Keamanan Umum pada Kontrak NFT
Penyalahgunaan dan penggunaan ulang tanda tangan: Kurangnya verifikasi pelaksanaan ulang dan pemeriksaan validitas penandatangan.
Celah logika: seperti administrator yang melewati batas total dalam mencetak koin, urutan transaksi selama proses lelang bergantung pada serangan, dll.
Serangan reentrancy ERC721/ERC1155: dapat terjadi saat menggunakan fitur notifikasi transfer.
Ruang Lingkup Otorisasi yang Terlalu Besar: Pengguna diminta untuk memberikan otorisasi yang berlebihan dalam beberapa operasi.
Manipulasi harga: Harga NFT tergantung pada faktor eksternal dan dapat dimanipulasi melalui metode seperti pinjaman kilat.
Masalah-masalah ini sering muncul dalam serangan nyata, menyoroti pentingnya audit keamanan profesional. Pihak proyek harus memperhatikan keamanan kontrak dan mencari tim profesional untuk melakukan audit menyeluruh guna mencegah risiko potensial.
Bukan proyek dam(?).
yang sebenarnya, saya percaya itu begitu di depan mata semua orang, kita akan melirik dalam (investasi) dalam hal waktu SooN.
masih ada hal-hal di pipeline dengan nft dan APE secara spesifik.
film* Waktu