Keamanan Kontrak NFT: Tinjauan Peristiwa dan Analisis Masalah Umum pada Paruh Pertama 2022

Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT sering terjadi, yang menyebabkan kerugian ekonomi yang besar. Menurut pemantauan platform data, terjadi 10 insiden keamanan utama, dengan kerugian sekitar 6490 juta dolar. Metode serangan utama termasuk pemanfaatan celah kontrak, kebocoran kunci pribadi, dan phishing. Serangan phishing di platform Discord terutama merajalela, hampir setiap hari ada server yang diserang, menyebabkan kerugian pengguna yang sering terjadi.

Tinjauan Peristiwa Keamanan Klasik

Peristiwa TreasureDAO

Pada 3 Maret 2022, platform perdagangan TreasureDAO diserang, mengakibatkan lebih dari 100 NFT dicuri. Kerentanan berasal dari kesalahan logika dalam kontrak TreasureMarketplaceBuyer, yang tidak membedakan antara token ERC-1155 dan ERC-721, sehingga penyerang dapat membeli NFT tanpa biaya.

APE Coin airdrop event

Pada 17 Maret 2022, penyerang memanfaatkan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin airdrop. Masalahnya terletak pada kontrak AirdropGrapesToken, yang hanya memeriksa kepemilikan NFT secara instan tanpa mempertimbangkan dampak yang mungkin ditimbulkan oleh pinjaman kilat.

Peristiwa Revest Finance

Pada 27 Maret 2022, Revest Finance mengalami serangan, dengan kerugian sekitar 120.000 dolar AS. Kerentanan itu ada di dalam kontrak Revest, yang disebabkan oleh panggilan eksternal tersembunyi dalam standar ERC-1155, yang memungkinkan terjadinya serangan reentrancy.

NBA mengambil kesempatan

Pada 21 April 2022, proyek NBA mengalami serangan. Kontrak The_Association_Sales memiliki masalah penyalahgunaan dan penggunaan ulang tanda tangan saat verifikasi daftar putih, tidak mencatat tanda tangan yang telah digunakan, dan juga tidak melakukan verifikasi msg.sender.

Akutar事件

Pada 23 April 2022, kontrak AkuAuction dari proyek Akutar terkunci karena kerentanan logika yang menyebabkan 11539ETH (sekitar 34 juta dolar AS) terjebak. Kondisi dalam fungsi pengembalian dana tidak mempertimbangkan kemungkinan pengguna mengajukan tawaran untuk beberapa NFT, sehingga operasi pengembalian dana tidak dapat dilaksanakan.

peristiwa XCarnival

Pada 24 Juni 2022, XCarnival diserang, dengan kerugian sekitar 3,8 juta dolar AS. Fungsi pledgeAndBorrow dalam kontrak XNFT tidak melakukan pemeriksaan yang efektif terhadap alamat xToken NFT yang dipertaruhkan dan status catatan jaminan, sehingga penyerang dapat memanfaatkan catatan jaminan yang tidak valid untuk melakukan pinjaman.

Pertanyaan Umum tentang Audit Kontrak NFT

1. Penandatanganan yang disalahgunakan dan digunakan kembali:

   • Kurangnya verifikasi penggunaan tanda tangan yang berulang
   • Logika pemeriksaan tanda tangan tidak lengkap

2. Celah logika:

   • Pengendalian total pasokan koin yang tidak tepat
   • Urutan transaksi dalam proses lelang bergantung pada serangan

3. Serangan Reentrancy ERC721/ERC1155:

   • Fitur pemberitahuan transfer mungkin menyebabkan reentrancy

4. Ruang lingkup otorisasi terlalu besar:

   • Meminta izin global alih-alih izin token tunggal

5. Manipulasi harga:

   • Harga NFT tergantung pada faktor eksternal dan mudah dipengaruhi oleh cara seperti pinjaman kilat.

Masalah ini sering muncul dalam serangan nyata, menyoroti pentingnya audit keamanan profesional untuk kontrak NFT. Pihak proyek harus memperhatikan keamanan kontrak dan mengurangi risiko keamanan melalui audit profesional.