An toàn hợp đồng NFT: Phân tích sự kiện và thảo luận về vấn đề kiểm toán nửa đầu năm 2022

Trong nửa đầu năm 2022, các sự kiện an ninh trong lĩnh vực NFT xảy ra thường xuyên, gây ra tổn thất lớn. Theo dữ liệu từ các nền tảng giám sát, trong nửa đầu năm đã xảy ra 10 sự kiện an ninh NFT chính, với tổng tổn thất khoảng 64,9 triệu đô la Mỹ. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Đáng chú ý, các cuộc tấn công lừa đảo trên nền tảng Discord gần như diễn ra hàng ngày, dẫn đến nhiều người dùng cá nhân bị thiệt hại.

Tổng quan về sự kiện an toàn điển hình

Sự kiện TreasureDAO

Vào ngày 3 tháng 3, nền tảng giao dịch TreasureDAO đã bị tấn công, hơn 100 NFT đã bị đánh cắp. Lỗ hổng xuất phát từ lỗi logic trong hợp đồng TreasureMarketplaceBuyer, không kiểm tra loại token trước khi tính giá, dẫn đến việc có thể mua NFT bằng một lượng token rất nhỏ. Sự kiện này đã phơi bày những vấn đề có thể phát sinh từ việc trộn lẫn token ERC-1155 và ERC-721.

sự kiện airdrop APE Coin

Vào ngày 17 tháng 3, hacker đã sử dụng khoản vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Vấn đề nằm ở chỗ hợp đồng AirdropGrapesToken chỉ xác định quyền sở hữu NFT thông qua trạng thái tức thì, đã bị kẻ tấn công lợi dụng để thao túng bằng khoản vay chớp nhoáng.

Sự kiện Revest Finance

Vào ngày 27 tháng 3, Revest Finance đã bị tấn công và thiệt hại 120.000 USD. Lỗ hổng nằm ở cuộc tấn công tái nhập ERC-1155, hợp đồng không kiểm tra đầy đủ khi đúc NFT mới, dẫn đến việc thực hiện lại thao tác đúc.

Sự kiện NBA lừa đảo

Vào ngày 21 tháng 4, dự án NBA đã bị tấn công. Vấn đề nằm ở chỗ cơ chế xác thực chữ ký có lỗ hổng, bao gồm việc chữ ký có thể bị tái sử dụng và giả mạo.

Sự kiện Akutar

Vào ngày 23 tháng 4, do lỗi logic hợp đồng, 11539 ETH (khoảng 34 triệu USD) đã bị khóa trong hợp đồng AkuAuction của Akutar. Vấn đề chính là chức năng hoàn tiền được thiết kế không phù hợp, không thể xử lý tình huống đấu thầu nhiều lần.

Sự kiện XCarnival

Vào ngày 24 tháng 6, XCarnival đã bị tấn công, thiệt hại 3087 ETH (khoảng 3,8 triệu USD). Lỗ hổng nằm ở chỗ hợp đồng XNFT không kiểm tra nghiêm ngặt tính hợp lệ của NFT đã được đặt cọc, cho phép sử dụng lại các hồ sơ đặt cọc không hợp lệ để vay mượn.

Các vấn đề kiểm toán hợp đồng NFT thường gặp

1. An toàn ký tên:

   • Thiếu xác thực thực hiện lặp lại, chẳng hạn như nonce của người dùng
   • Kiểm tra chữ ký không nghiêm ngặt, chẳng hạn như không xác minh xem người ký có phải là địa chỉ không hay không.

2. Lỗ hổng logic:

   • Phương thức đúc tiền đặc biệt có thể vượt qua giới hạn tổng số lượng
   • Trong quá trình đấu giá có nguy cơ tấn công phụ thuộc vào thứ tự giao dịch.

3. Tấn công tái nhập ERC721/ERC1155:

   • Chức năng thông báo chuyển khoản có thể bị lợi dụng để thực hiện tấn công tái nhập.

4. Phạm vi ủy quyền quá lớn:

   • Yêu cầu cấp quyền toàn cầu thay vì cấp quyền cho từng token, tăng nguy cơ NFT bị đánh cắp.

5. Kiểm soát giá:

   • Giá NFT phụ thuộc vào trạng thái hợp đồng bên ngoài, có thể bị thao túng bởi vay chớp nhoáng

Những vấn đề này thường xuyên xuất hiện trong các cuộc tấn công thực tế, làm nổi bật tầm quan trọng của việc kiểm toán an ninh chuyên nghiệp. Các nhà phát triển dự án nên chú trọng đến an toàn hợp đồng, tìm kiếm dịch vụ kiểm toán chuyên nghiệp để giảm thiểu rủi ro an ninh.