Keamanan Kontrak NFT: Analisis Peristiwa dan Diskusi Masalah Audit pada Paruh Pertama Tahun 2022

Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT terjadi dengan frekuensi tinggi, menyebabkan kerugian besar. Menurut pemantauan platform data, selama paruh pertama tahun ini terjadi 10 insiden keamanan NFT utama, dengan total kerugian sekitar 64,9 juta dolar AS. Metode serangan terutama mencakup pemanfaatan kerentanan kontrak, kebocoran kunci privat, dan phishing. Perlu dicatat bahwa serangan phishing di platform Discord hampir terjadi setiap hari, mengakibatkan banyak pengguna pribadi mengalami kerugian.

Tinjauan Kejadian Keamanan Klasik

Peristiwa TreasureDAO

Pada 3 Maret, platform perdagangan TreasureDAO diserang, lebih dari 100 NFT dicuri. Kerentanan berasal dari kesalahan logika dalam kontrak TreasureMarketplaceBuyer, yang menghitung harga tanpa memeriksa jenis token, yang mengakibatkan NFT dapat dibeli dengan jumlah token yang sangat sedikit. Peristiwa ini mengungkapkan masalah yang mungkin timbul akibat penggunaan campuran token ERC-1155 dan ERC-721.

APE Coin airdrop event

Pada 17 Maret, peretas menggunakan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin airdrop. Masalahnya terletak pada kontrak AirdropGrapesToken yang hanya menilai kepemilikan NFT melalui status langsung, yang dimanfaatkan oleh penyerang dengan memanipulasi pinjaman kilat.

Peristiwa Revest Finance

Pada 27 Maret, Revest Finance diserang, mengalami kerugian sebesar 120.000 dolar AS. Kerentanan terletak pada serangan reentrancy ERC-1155, di mana kontrak tidak memeriksa dengan cukup saat mencetak NFT baru, yang mengakibatkan operasi pencetakan yang dapat dieksekusi berulang kali.

NBA mencuri peluang

Pada 21 April, proyek NBA mengalami serangan. Masalahnya terletak pada mekanisme verifikasi tanda tangan yang memiliki celah, termasuk tanda tangan yang dapat digunakan kembali dan dipalsukan.

Akutar事件

Pada tanggal 23 April, akibat kesalahan logika kontrak, 11539 ETH (sekitar 34 juta USD) terkunci dalam kontrak AkuAuction Akutar. Masalah utama adalah desain fungsi pengembalian dana yang tidak tepat, yang tidak dapat menangani situasi tawaran ganda.

peristiwa XCarnival

Pada 24 Juni, XCarnival diserang, kehilangan 3087 ETH (sekitar 3,8 juta USD). Kerentanan terletak pada kontrak XNFT yang tidak memeriksa kevalidan NFT yang dipertaruhkan secara ketat, memungkinkan penggunaan kembali catatan pertaruhan yang tidak valid untuk pinjaman.

Masalah Audit Umum pada Kontrak NFT

1. Keamanan tanda tangan:

   • Kurang verifikasi eksekusi berulang, seperti nonce pengguna
   • Pemeriksaan tanda tangan tidak ketat, seperti tidak memverifikasi apakah penandatangan adalah alamat nol

2. Celah logika:

   • Metode pencetakan khusus mungkin dapat melewati batas total
   • Ada risiko serangan tergantung urutan transaksi selama proses lelang

3. Serangan Reentrancy ERC721/ERC1155:

   • Fitur pemberitahuan transfer mungkin dapat dieksploitasi untuk serangan reentrancy

4. Ruang lingkup otorisasi terlalu besar:

   • Memerlukan otorisasi global daripada otorisasi token tunggal, meningkatkan risiko pencurian NFT

5. Manipulasi harga:

   • Harga NFT bergantung pada status kontrak eksternal, yang mungkin dimanipulasi oleh pinjaman kilat.

Masalah ini sering muncul dalam serangan nyata, yang menyoroti pentingnya audit keamanan profesional. Pihak proyek harus memperhatikan keamanan kontrak dan mencari layanan audit profesional untuk mengurangi risiko keamanan.