An toàn hợp đồng NFT: Tổng hợp sự kiện nửa đầu năm và phân tích các vấn đề thường gặp

Trong nửa đầu năm 2022, tình hình an ninh trong lĩnh vực NFT không khả quan. Theo dữ liệu từ nền tảng giám sát, đã xảy ra 10 sự kiện an ninh nghiêm trọng, gây thiệt hại khoảng 64.90 triệu USD. Các phương thức tấn công chính bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý là các máy chủ Discord thường xuyên bị tấn công, người dùng thường xuyên mất tiền do nhấp vào các liên kết lừa đảo.

Nhìn lại các sự kiện an ninh điển hình

Sự kiện TreasureDAO

Vào ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị tấn công bởi hacker, hơn 100 NFT đã bị đánh cắp. Lỗi xuất phát từ lỗi logic trong hàm buyItem của hợp đồng TreasureMarketplaceBuyer, không kiểm tra loại token, dẫn đến việc có thể mua NFT mà không cần thanh toán token nào. Điều này phản ánh vấn đề lẫn lộn logic do việc sử dụng đồng thời token ERC-1155 và ERC-721.

sự kiện airdrop APE Coin

Vào ngày 17 tháng 3, tin tặc đã sử dụng vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Lỗ hổng xuất hiện trong hợp đồng airdrop của AirdropGrapesToken, hợp đồng chỉ xác định quyền sở hữu NFT thông qua trạng thái tức thì, và trạng thái này có thể bị thao túng bởi vay chớp nhoáng.

Sự kiện Revest Finance

Ngày 27 tháng 3, Revest Finance đã bị tấn công, thiệt hại 120.000 USD. Lỗ hổng liên quan đến tấn công reentrancy ERC-1155, xuất phát từ thời điểm cập nhật biến trạng thái trong hàm depositAdditionalToFNFT().

Sự kiện NBA hớt váng

Ngày 21 tháng 4, dự án NBA đã bị tấn công bởi hacker. Vấn đề nằm ở cơ chế kiểm tra chữ ký của hợp đồng The_Association_Sales, có nguy cơ bị mạo danh và tái sử dụng chữ ký.

Sự kiện Akutar

Vào ngày 23 tháng 4, hợp đồng AkuAuction của dự án Akutar đã bị khóa 11,5 nghìn ETH (khoảng 34 triệu USD) do lỗ hổng logic. Vấn đề chính nằm ở thiết kế lỗi của hàm hoàn tiền, không tính đến trường hợp người dùng đặt thầu nhiều lần.

Sự kiện XCarnival

Vào ngày 24 tháng 6, XCarnival bị tấn công, hacker đã thu lợi 3087 đồng Ethereum. Lỗ hổng nằm trong hợp đồng XNFT, logic staking và cho vay có khuyết điểm, cho phép kẻ tấn công tái sử dụng các bản ghi thế chấp không hợp lệ.

Câu hỏi thường gặp về hợp đồng NFT

1. Lạm dụng và tái sử dụng chữ ký:

   • Thiếu xác thực thực thi lặp lại
   • Kiểm tra chữ ký không nghiêm ngặt

2. Lỗ hổng logic:

   • Kiểm soát tổng lượng tiền tệ không đúng cách
   • Thứ tự giao dịch trong quá trình đấu giá phụ thuộc vào tấn công

3. Tấn công tái nhập ERC721/ERC1155:

   • Chức năng thông báo chuyển khoản có thể gây ra tái nhập

4. Phạm vi ủy quyền quá lớn:

   • Việc cấp quyền quá mức có thể dẫn đến việc NFT bị đánh cắp

5. Kiểm soát giá:

   • Giá NFT phụ thuộc vào các yếu tố bên ngoài, dễ bị tấn công bởi các khoản vay chớp nhoáng.

Với những vấn đề trên, các bên dự án NFT nên chú trọng đến việc kiểm toán an toàn hợp đồng, nhằm phòng ngừa rủi ro tiềm ẩn và bảo vệ an toàn tài sản của người dùng.