Keamanan Kontrak NFT: Tinjauan Peristiwa dan Analisis Masalah Umum Paruh Pertama 2022
Pada paruh pertama tahun 2022, kejadian keamanan di bidang NFT sering terjadi, menyebabkan kerugian ekonomi yang besar. Menurut statistik dari platform data, selama periode ini terjadi 10 kejadian keamanan NFT utama, dengan kerugian sekitar 64,9 juta USD. Metode serangan utama termasuk pemanfaatan celah kontrak, kebocoran kunci pribadi, dan phishing. Di antara itu, serangan phishing di platform Discord sangat merajalela, hampir setiap hari ada server yang diserang, menyebabkan pengguna sering mengalami kerugian.
Tinjauan Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang oleh peretas, lebih dari 100 NFT dicuri. Penyebabnya adalah adanya celah logika dalam kontrak yang tidak membedakan pengolahan token ERC-1155 dan ERC-721, sehingga penyerang dapat membeli NFT tanpa biaya.
Acara airdrop APE Coin
Pada 17 Maret 2022, peretas menggunakan pinjaman kilat untuk mendapatkan lebih dari 60.000 airdrop APE Coin. Kerentanannya terletak pada kontrak airdrop yang hanya memeriksa status kepemilikan NFT pengguna saat ini, tanpa mempertimbangkan perubahan status instan yang mungkin disebabkan oleh pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance mengalami serangan dan kehilangan 120.000 USD. Penyebabnya adalah kerentanan reentrancy pada token ERC-1155, di mana kontrak tidak melakukan pemeriksaan yang memadai saat mencetak NFT baru.
acara proyek NBA
Pada 21 April 2022, proyek NFT terkait NBA diserang. Masalah terletak pada mekanisme verifikasi tanda tangan, terdapat risiko penyalahgunaan dan penggunaan ulang tanda tangan.
Peristiwa Akutar
Pada 23 April 2022, proyek Akutar mengalami masalah karena kerentanan logika kontrak, yang mengakibatkan 11.5 ribu ETH( senilai sekitar 34 juta dolar AS) terkunci. Penyebab utamanya adalah desain fungsi pengembalian dana yang tidak tepat, yang tidak mempertimbangkan situasi di mana pengguna melakukan penawaran berkali-kali.
Peristiwa XCarnival
Pada 24 Juni 2022, protokol pinjaman NFT XCarnival diserang, dengan kerugian sebesar 3087 ETH( sekitar 3,8 juta dolar AS). Kerentanan terletak pada logika staking dan pinjaman yang memiliki cacat, tidak melakukan validasi yang cukup terhadap kolateral dan status pinjaman.
Masalah Keamanan Umum pada Kontrak NFT
Kekurangan mekanisme tanda tangan: termasuk masalah penggunaan ulang tanda tangan dan penyalahgunaan.
Celah logika: seperti kontrol jumlah koin yang tidak tepat, celah lelang, dll.
Serangan reentrancy ERC721/ERC1155: dapat memicu reentrancy dalam pemberitahuan transfer.
Ruang lingkup otorisasi yang terlalu besar: otorisasi global yang tidak perlu meningkatkan risiko pencurian aset.
Manipulasi harga: Bergantung pada sumber data eksternal dapat menyebabkan likuidasi yang tidak normal.
Masalah-masalah ini sering terlihat dalam serangan nyata, menyoroti pentingnya audit keamanan menyeluruh untuk proyek NFT. Pengembang harus memperhatikan keamanan kontrak, mengundang lembaga profesional untuk melakukan audit, guna mencegah risiko yang mungkin terjadi.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Suka
Hadiah
10
5
Bagikan
Komentar
0/400
GateUser-ccc36bc5
· 7jam yang lalu
Ternyata Hacker sudah mengerti jebakan.
Lihat AsliBalas0
LiquidityWizard
· 7jam yang lalu
Aduh, kontraknya ternyata tidak membedakan 721 dan 1155.
Peringatan Keamanan Kontrak NFT: Analisis Kerugian 64,9 Juta Dollar pada Paruh Pertama Tahun 2022 dan Kerentanan Umum
Keamanan Kontrak NFT: Tinjauan Peristiwa dan Analisis Masalah Umum Paruh Pertama 2022
Pada paruh pertama tahun 2022, kejadian keamanan di bidang NFT sering terjadi, menyebabkan kerugian ekonomi yang besar. Menurut statistik dari platform data, selama periode ini terjadi 10 kejadian keamanan NFT utama, dengan kerugian sekitar 64,9 juta USD. Metode serangan utama termasuk pemanfaatan celah kontrak, kebocoran kunci pribadi, dan phishing. Di antara itu, serangan phishing di platform Discord sangat merajalela, hampir setiap hari ada server yang diserang, menyebabkan pengguna sering mengalami kerugian.
Tinjauan Kejadian Keamanan Tipikal
Peristiwa TreasureDAO
Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang oleh peretas, lebih dari 100 NFT dicuri. Penyebabnya adalah adanya celah logika dalam kontrak yang tidak membedakan pengolahan token ERC-1155 dan ERC-721, sehingga penyerang dapat membeli NFT tanpa biaya.
Acara airdrop APE Coin
Pada 17 Maret 2022, peretas menggunakan pinjaman kilat untuk mendapatkan lebih dari 60.000 airdrop APE Coin. Kerentanannya terletak pada kontrak airdrop yang hanya memeriksa status kepemilikan NFT pengguna saat ini, tanpa mempertimbangkan perubahan status instan yang mungkin disebabkan oleh pinjaman kilat.
Peristiwa Revest Finance
Pada 27 Maret 2022, Revest Finance mengalami serangan dan kehilangan 120.000 USD. Penyebabnya adalah kerentanan reentrancy pada token ERC-1155, di mana kontrak tidak melakukan pemeriksaan yang memadai saat mencetak NFT baru.
acara proyek NBA
Pada 21 April 2022, proyek NFT terkait NBA diserang. Masalah terletak pada mekanisme verifikasi tanda tangan, terdapat risiko penyalahgunaan dan penggunaan ulang tanda tangan.
Peristiwa Akutar
Pada 23 April 2022, proyek Akutar mengalami masalah karena kerentanan logika kontrak, yang mengakibatkan 11.5 ribu ETH( senilai sekitar 34 juta dolar AS) terkunci. Penyebab utamanya adalah desain fungsi pengembalian dana yang tidak tepat, yang tidak mempertimbangkan situasi di mana pengguna melakukan penawaran berkali-kali.
Peristiwa XCarnival
Pada 24 Juni 2022, protokol pinjaman NFT XCarnival diserang, dengan kerugian sebesar 3087 ETH( sekitar 3,8 juta dolar AS). Kerentanan terletak pada logika staking dan pinjaman yang memiliki cacat, tidak melakukan validasi yang cukup terhadap kolateral dan status pinjaman.
Masalah Keamanan Umum pada Kontrak NFT
Kekurangan mekanisme tanda tangan: termasuk masalah penggunaan ulang tanda tangan dan penyalahgunaan.
Celah logika: seperti kontrol jumlah koin yang tidak tepat, celah lelang, dll.
Serangan reentrancy ERC721/ERC1155: dapat memicu reentrancy dalam pemberitahuan transfer.
Ruang lingkup otorisasi yang terlalu besar: otorisasi global yang tidak perlu meningkatkan risiko pencurian aset.
Manipulasi harga: Bergantung pada sumber data eksternal dapat menyebabkan likuidasi yang tidak normal.
Masalah-masalah ini sering terlihat dalam serangan nyata, menyoroti pentingnya audit keamanan menyeluruh untuk proyek NFT. Pengembang harus memperhatikan keamanan kontrak, mengundang lembaga profesional untuk melakukan audit, guna mencegah risiko yang mungkin terjadi.