An toàn hợp đồng NFT: Phân tích sự kiện nửa đầu năm 2022 và phân tích các vấn đề thường gặp

Trong nửa đầu năm 2022, lĩnh vực an ninh blockchain đã xảy ra nhiều sự kiện an ninh liên quan đến NFT, gây ra thiệt hại kinh tế lớn. Bài viết này sẽ phân tích sâu về những sự kiện này và thảo luận về các vấn đề phổ biến trong quá trình kiểm toán hợp đồng NFT.

Tổng quan về sự cố an ninh NFT

Theo dữ liệu từ nền tảng giám sát an toàn blockchain, trong nửa đầu năm 2022 đã xảy ra 10 sự kiện an ninh NFT nghiêm trọng, tổng thiệt hại khoảng 64,9 triệu USD. Các phương thức tấn công chính bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và tấn công lừa đảo. Đáng chú ý, tấn công lừa đảo trên nền tảng Discord xảy ra gần như hàng ngày, gây ra thiệt hại thường xuyên cho người dùng cá nhân.

Phân tích sự kiện an toàn điển hình

Sự kiện TreasureDAO

Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, dẫn đến việc hơn 100 NFT bị đánh cắp.

Nguyên nhân lỗ hổng: Logic hợp đồng bị rối. Hàm buyItem của hợp đồng TreasureMarketplaceBuyer không kiểm tra loại token, trực tiếp nhân số lượng với đơn giá để tính tổng giá, dẫn đến việc có thể mua NFT bằng 0 ERC-20 token. Điều này là do việc sử dụng hỗn hợp ERC-1155 và ERC-721 token, mà không có xử lý đặc biệt cho token 721.

Sự kiện airdrop APE Coin

Vào ngày 17 tháng 3 năm 2022, hacker đã sử dụng vay nhanh để lấy hơn 60.000 APE Coin airdrop.

Nguyên nhân lỗ hổng: Hợp đồng airdrop chỉ kiểm tra trạng thái nắm giữ NFT tạm thời của người dùng, kẻ tấn công có thể mượn tạm thời NFT thông qua vay chớp nhoáng để nhận airdrop.

Sự kiện Revest Finance

Ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công bởi hacker, thiệt hại 120.000 đô la.

Nguyên nhân lỗ hổng: Tấn công tái nhập ERC-1155. Hợp đồng không kiểm tra xem FNFT mới đã tồn tại hay chưa khi đúc, và biến trạng thái tự tăng sau hàm _mint(), dẫn đến lỗ hổng tái nhập.

sự kiện dự án NBA

Ngày 21 tháng 4 năm 2022, dự án NBA bị tấn công bởi hacker.

Nguyên nhân lỗ hổng: Sử dụng và lạm dụng chữ ký. Hợp đồng không lưu trữ chữ ký đã sử dụng và không kiểm tra msg.sender, dẫn đến việc chữ ký có thể bị sử dụng lại và lạm dụng.

Sự kiện Akutar

Ngày 23 tháng 4 năm 2022, dự án Akutar đã bị khóa 11.000 ETH do lỗ hổng hợp đồng.

Nguyên nhân lỗi: Thiếu sót trong logic hoàn tiền. Hàm hoàn tiền không xem xét trường hợp người dùng có thể đặt thầu nhiều NFT, dẫn đến việc hoàn tiền không bao giờ có thể hoàn tất.

sự kiện XCarnival

Vào ngày 24 tháng 6 năm 2022, XCarnival đã bị tấn công, hacker đã thu lợi 3087 ETH.

Nguyên nhân lỗ hổng: Khuyết điểm trong logic cho vay. Hợp đồng không kiểm tra tính hợp pháp của địa chỉ xToken và không xác minh trạng thái ghi lại tài sản thế chấp, dẫn đến việc sử dụng lại các ghi chép thế chấp không hợp lệ để vay.

Các câu hỏi thường gặp về kiểm toán hợp đồng NFT

1. Giả mạo và tái sử dụng chữ ký

   • Thiếu xác thực việc sử dụng lại chữ ký
   • Logic kiểm tra chữ ký không chặt chẽ

2. Lỗ hổng logic

   • Kiểm soát tổng lượng đúc không đúng cách
   • Quy trình đấu giá có sự phụ thuộc vào thứ tự

3. Tấn công tái nhập ERC721/ERC1155

   • Chức năng thông báo chuyển khoản có thể gây ra việc gọi lại

4. Phạm vi ủy quyền quá lớn

   • Yêu cầu tất cả token được ủy quyền thay vì token đơn lẻ

5. Rủi ro thao túng giá

   • Giá NFT phụ thuộc vào các chỉ số dễ bị thao túng

Tóm lại, vấn đề an toàn hợp đồng NFT vẫn còn phổ biến. Các nhà phát triển dự án nên chú trọng đến việc kiểm tra an toàn hợp đồng, chọn đội ngũ an ninh chuyên nghiệp để thực hiện kiểm tra toàn diện, nhằm tránh xảy ra các sự cố an toàn tương tự.