Keamanan Kontrak NFT: Tinjauan Peristiwa Setengah Tahun dan Analisis Masalah Umum

Pada paruh pertama tahun 2022, situasi keamanan di bidang NFT tidak dapat dianggap remeh. Menurut pemantauan platform data, terjadi 10 peristiwa keamanan besar yang mengakibatkan kerugian sekitar 64,9 juta dolar AS. Metode serangan utama termasuk eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa server Discord sering diserang, dan pengguna sering mengalami kerugian akibat mengklik tautan phishing.

Tinjauan Kejadian Keamanan Tipikal

Peristiwa TreasureDAO

Pada 3 Maret, platform perdagangan TreasureDAO diserang oleh peretas, lebih dari 100 NFT dicuri. Kerentanan berasal dari kesalahan logika pada fungsi buyItem di kontrak TreasureMarketplaceBuyer, yang tidak memeriksa jenis token, sehingga memungkinkan pembelian NFT dengan membayar 0 token. Ini mencerminkan masalah kebingungan logika yang disebabkan oleh penggunaan campuran token ERC-1155 dan ERC-721.

peristiwa airdrop APE Coin

Pada 17 Maret, hacker memanfaatkan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin airdrop. Kerentanan muncul dalam kontrak airdrop AirdropGrapesToken, di mana kontrak hanya menentukan kepemilikan NFT melalui status instan, dan status ini dapat dimanipulasi oleh pinjaman kilat.

Peristiwa Revest Finance

Pada 27 Maret, Revest Finance diserang, mengalami kerugian sebesar 120.000 dolar. Kerentanan tersebut melibatkan serangan reentrancy ERC-1155, yang berasal dari waktu pembaruan variabel status di dalam fungsi depositAdditionalToFNFT().

NBA kejadian memanfaatkan peluang

Pada 21 April, proyek NBA diserang oleh peretas. Masalah terletak pada mekanisme verifikasi tanda tangan kontrak The_Association_Sales, yang memiliki risiko penyalahgunaan dan penggunaan kembali tanda tangan.

Akutar事件

Pada 23 April, kontrak AkuAuction dari proyek Akutar terkunci karena celah logika, mengakibatkan 11.5 ribu ETH (sekitar 34 juta dolar AS) terkunci. Masalah utama terletak pada cacat desain fungsi pengembalian dana, yang tidak mempertimbangkan situasi di mana pengguna melakukan penawaran beberapa kali.

peristiwa XCarnival

Pada 24 Juni, XCarnival diserang, hacker meraih 3087 Ethereum. Kerentanan terdapat pada kontrak XNFT, di mana logika staking dan peminjaman memiliki cacat, memungkinkan penyerang untuk menggunakan kembali catatan jaminan yang tidak valid.

Pertanyaan Umum tentang Kontrak NFT

1. Penyalahgunaan dan penggunaan kembali tanda tangan:

   • Kurang validasi eksekusi berulang
   • Pemeriksaan tanda tangan tidak ketat

2. Celah logika:

   • Kontrol total pasokan koin yang tidak tepat
   • Urutan transaksi dalam proses lelang bergantung pada serangan

3. Serangan Reentrancy ERC721/ERC1155:

   • Fitur notifikasi transfer mungkin memicu reentrancy

4. Lingkup otorisasi terlalu besar:

   • Otorisasi berlebihan dapat menyebabkan NFT dicuri

5. Manipulasi harga:

   • Harga NFT tergantung pada faktor eksternal, rentan terhadap serangan seperti pinjaman kilat.

Mengacu pada masalah di atas, pihak proyek NFT harus memperhatikan audit keamanan kontrak untuk mencegah risiko potensial dan melindungi keamanan aset pengguna.