Analisis Keamanan Kontrak NFT dan Diskusi Masalah Umum
Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT sering terjadi, yang membawa kerugian tidak kecil bagi industri. Menurut statistik, selama periode tersebut terjadi 10 insiden keamanan utama, yang menyebabkan kerugian sekitar 64,9 juta dolar AS. Metode serangan terutama mencakup eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa serangan phishing di platform Discord sangat merajalela, hampir setiap hari ada server yang diserang, menyebabkan kerugian yang sering terjadi pada pengguna individu.
Di antara peristiwa keamanan ini, beberapa di antaranya sangat mencolok:
Peristiwa TreasureDAO: Karena kebingungan logika yang disebabkan oleh penggunaan campuran token ERC-1155 dan ERC-721, hacker berhasil mencuri lebih dari 100 NFT.
Peristiwa airdrop APE Coin: Hacker menggunakan pinjaman kilat untuk mendapatkan lebih dari 60.000 airdrop APE Coin. Ini mengungkapkan celah dalam kontrak airdrop saat menentukan kepemilikan NFT.
Peristiwa Revest Finance: Karena kerentanan reentrancy ERC-1155, proyek mengalami kerugian sekitar 120.000 dolar.
Proyek NBA mengalami serangan: Masalah penipuan tanda tangan dan penggunaan ulang menyebabkan verifikasi whitelist tidak efektif.
Insiden Akutar: Karena celah logika kontrak pintar, sekitar 34 juta dolar aset terkunci dalam kontrak.
Peristiwa XCarnival: Kerentanan logika kontrak menyebabkan hacker mendapatkan keuntungan sekitar 3,8 juta dolar.
Peristiwa ini mengungkapkan beberapa masalah umum yang ada dalam desain dan implementasi kontrak NFT. Tim audit profesional sering menemukan jenis masalah berikut saat meninjau kontrak NFT:
Penyalahgunaan dan penggunaan kembali tanda tangan: Kurangnya verifikasi eksekusi ulang atau pemeriksaan tanda tangan yang tidak wajar, yang mengakibatkan tanda tangan dapat digunakan berulang kali atau dapat diperiksa oleh pengguna mana pun.
Celah logika: seperti pengendalian total jumlah koin yang tidak tepat, celah dalam proses lelang, dll.
Serangan reentrancy ERC721/ERC1155: Saat menggunakan fungsi notifikasi transfer, dapat memicu serangan reentrancy.
Ruang lingkup otorisasi yang terlalu besar: Pengguna mungkin diminta untuk memberikan otorisasi yang berlebihan dalam beberapa operasi, meningkatkan risiko pencurian NFT.
Manipulasi Harga: Ketika harga NFT bergantung pada faktor-faktor tertentu yang dapat dimanipulasi, dapat menyebabkan likuidasi yang tidak normal.
Masalah ini sering muncul dalam serangan nyata, menunjukkan pentingnya audit keamanan profesional untuk kontrak NFT. Pihak proyek harus memperhatikan keamanan kontrak, memilih perusahaan keamanan profesional untuk melakukan audit menyeluruh, guna mengurangi risiko keamanan dan melindungi kepentingan pengguna.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
21 Suka
Hadiah
21
7
Posting ulang
Bagikan
Komentar
0/400
MintMaster
· 07-24 15:08
Di zaman sekarang ini adalah perampokan terang-terangan.
Lihat AsliBalas0
notSatoshi1971
· 07-22 22:16
Sekali lagi melihat smart contract yang diserang oleh hk
Lihat AsliBalas0
GateUser-afe07a92
· 07-22 12:22
Dianggap Bodoh play people for suckers baru muncul.
Lihat AsliBalas0
StablecoinAnxiety
· 07-21 15:56
Tidak ada kata-kata lagi, ada celah lagi.
Lihat AsliBalas0
StakeWhisperer
· 07-21 15:55
Kontrak yang baik, rugi sedikit sedikit sedikit
Lihat AsliBalas0
BackrowObserver
· 07-21 15:53
Kerugiannya bahkan tidak cukup untuk saya membeli sebotol minuman.
Analisis Risiko Keamanan Kontrak NFT: Melihat Kejadian yang Sering Terjadi dan Kerentanan Umum serta Pencegahannya
Analisis Keamanan Kontrak NFT dan Diskusi Masalah Umum
Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT sering terjadi, yang membawa kerugian tidak kecil bagi industri. Menurut statistik, selama periode tersebut terjadi 10 insiden keamanan utama, yang menyebabkan kerugian sekitar 64,9 juta dolar AS. Metode serangan terutama mencakup eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa serangan phishing di platform Discord sangat merajalela, hampir setiap hari ada server yang diserang, menyebabkan kerugian yang sering terjadi pada pengguna individu.
Di antara peristiwa keamanan ini, beberapa di antaranya sangat mencolok:
Peristiwa TreasureDAO: Karena kebingungan logika yang disebabkan oleh penggunaan campuran token ERC-1155 dan ERC-721, hacker berhasil mencuri lebih dari 100 NFT.
Peristiwa airdrop APE Coin: Hacker menggunakan pinjaman kilat untuk mendapatkan lebih dari 60.000 airdrop APE Coin. Ini mengungkapkan celah dalam kontrak airdrop saat menentukan kepemilikan NFT.
Peristiwa Revest Finance: Karena kerentanan reentrancy ERC-1155, proyek mengalami kerugian sekitar 120.000 dolar.
Proyek NBA mengalami serangan: Masalah penipuan tanda tangan dan penggunaan ulang menyebabkan verifikasi whitelist tidak efektif.
Insiden Akutar: Karena celah logika kontrak pintar, sekitar 34 juta dolar aset terkunci dalam kontrak.
Peristiwa XCarnival: Kerentanan logika kontrak menyebabkan hacker mendapatkan keuntungan sekitar 3,8 juta dolar.
Peristiwa ini mengungkapkan beberapa masalah umum yang ada dalam desain dan implementasi kontrak NFT. Tim audit profesional sering menemukan jenis masalah berikut saat meninjau kontrak NFT:
Penyalahgunaan dan penggunaan kembali tanda tangan: Kurangnya verifikasi eksekusi ulang atau pemeriksaan tanda tangan yang tidak wajar, yang mengakibatkan tanda tangan dapat digunakan berulang kali atau dapat diperiksa oleh pengguna mana pun.
Celah logika: seperti pengendalian total jumlah koin yang tidak tepat, celah dalam proses lelang, dll.
Serangan reentrancy ERC721/ERC1155: Saat menggunakan fungsi notifikasi transfer, dapat memicu serangan reentrancy.
Ruang lingkup otorisasi yang terlalu besar: Pengguna mungkin diminta untuk memberikan otorisasi yang berlebihan dalam beberapa operasi, meningkatkan risiko pencurian NFT.
Manipulasi Harga: Ketika harga NFT bergantung pada faktor-faktor tertentu yang dapat dimanipulasi, dapat menyebabkan likuidasi yang tidak normal.
Masalah ini sering muncul dalam serangan nyata, menunjukkan pentingnya audit keamanan profesional untuk kontrak NFT. Pihak proyek harus memperhatikan keamanan kontrak, memilih perusahaan keamanan profesional untuk melakukan audit menyeluruh, guna mengurangi risiko keamanan dan melindungi kepentingan pengguna.