Keamanan Kontrak NFT: Analisis Kejadian dan Masalah Umum pada Paruh Pertama 2022

Pada paruh pertama tahun 2022, terjadi beberapa insiden keamanan terkait NFT di bidang keamanan blockchain, yang mengakibatkan kerugian ekonomi yang besar. Artikel ini akan menganalisis secara mendalam insiden-insiden ini dan membahas masalah umum dalam proses audit kontrak NFT.

Ikhtisar Kejadian Keamanan NFT

Menurut data dari platform pemantauan keamanan blockchain, selama paruh pertama tahun 2022 terjadi 10 insiden keamanan NFT yang signifikan, dengan total kerugian sekitar 64,9 juta dolar AS. Metode serangan utama termasuk eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan serangan phishing. Perlu dicatat bahwa serangan phishing di platform Discord hampir terjadi setiap hari, menyebabkan kerugian yang sering bagi pengguna individu.

Analisis Kejadian Keamanan Tipikal

Peristiwa TreasureDAO

Pada tanggal 3 Maret 2022, platform perdagangan TreasureDAO diserang oleh hacker, yang menyebabkan lebih dari 100 NFT dicuri.

Penyebab kerentanan: Logika kontrak yang membingungkan. Fungsi buyItem dari kontrak TreasureMarketplaceBuyer tidak memeriksa jenis token, langsung mengalikan jumlah dengan harga per unit untuk menghitung total harga, yang menyebabkan NFT dapat dibeli dengan 0 token ERC-20. Ini disebabkan oleh pencampuran token ERC-1155 dan ERC-721, tanpa perlakuan khusus untuk token 721.

Peristiwa airdrop APE Coin

Pada 17 Maret 2022, hacker mendapatkan lebih dari 60.000 airdrop APE Coin melalui pinjaman kilat.

Penyebab celah: kontrak airdrop hanya memeriksa status kepemilikan NFT pengguna secara instan, penyerang dapat meminjam NFT secara sementara melalui pinjaman kilat untuk mendapatkan airdrop.

Peristiwa Revest Finance

Pada 27 Maret 2022, Revest Finance diserang hacker, mengalami kerugian sebesar 120.000 dolar.

Penyebab kerentanan: serangan reentrancy ERC-1155. Kontrak tidak memeriksa apakah FNFT baru sudah ada saat mencetak, dan variabel status ditambahkan setelah fungsi _mint(), yang menyebabkan kerentanan reentrancy.

proyek NBA

Pada 21 April 2022, proyek NBA diserang hacker.

Penyebab kerentanan: Penyalahgunaan dan penggunaan kembali tanda tangan. Kontrak tidak menyimpan tanda tangan yang telah digunakan dan tidak memverifikasi msg.sender, menyebabkan tanda tangan dapat digunakan kembali dan disalahgunakan.

Akutar事件

Pada tanggal 23 April 2022, proyek Akutar mengakibatkan 11.000 ETH terkunci karena celah kontrak.

Penyebab celah: Kekurangan logika pengembalian dana. Fungsi pengembalian dana tidak mempertimbangkan situasi di mana pengguna dapat menawar beberapa NFT, yang mengakibatkan pengembalian dana tidak dapat diselesaikan.

Peristiwa XCarnival

Pada 24 Juni 2022, XCarnival diserang, peretas memperoleh keuntungan sebesar 3087 ETH.

Penyebab kerentanan: cacat logika pinjaman. Kontrak tidak memeriksa keabsahan alamat xToken, dan tidak memverifikasi status catatan jaminan, yang mengakibatkan penggunaan kembali catatan jaminan tidak valid untuk pinjaman.

Pertanyaan Umum tentang Audit Kontrak NFT

1. Penyalahgunaan dan penggunaan kembali tanda tangan

   • Kurang tanda tangan validasi penggunaan ulang
   • Logika pemeriksaan tanda tangan tidak ketat

2. Celah logika

   • Kontrol jumlah total koin yang tidak tepat
   • Proses lelang memiliki ketergantungan urutan

3. Serangan Reentrancy ERC721/ERC1155

   • Fitur pemberitahuan transfer mungkin menyebabkan reentrancy

4. Ruang lingkup otorisasi terlalu besar

   • Meminta otorisasi semua token daripada token tunggal

5. Risiko manipulasi harga

   • Harga NFT bergantung pada indikator yang mudah dimanipulasi

Kesimpulannya, masalah keamanan kontrak NFT masih umum terjadi. Pihak proyek harus memperhatikan audit keamanan kontrak, memilih tim keamanan profesional untuk melakukan pemeriksaan menyeluruh, untuk menghindari terjadinya peristiwa keamanan serupa.