An toàn hợp đồng NFT: Tổng hợp sự kiện nửa đầu năm 2022 và phân tích các vấn đề thường gặp

Trong nửa đầu năm 2022, lĩnh vực NFT đã xảy ra nhiều sự kiện an ninh, gây ra tổn thất kinh tế lớn. Theo dữ liệu từ các nền tảng giám sát, đã xảy ra 10 sự kiện an ninh chính, với tổng thiệt hại khoảng 64,9 triệu đô la Mỹ. Các phương thức tấn công chủ yếu bao gồm khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lừa đảo. Các cuộc tấn công lừa đảo trên nền tảng Discord đặc biệt tràn lan, gần như hàng ngày có các máy chủ bị tấn công, dẫn đến việc người dùng thường xuyên bị thiệt hại.

Tổng quan về các sự kiện an ninh điển hình

Sự kiện TreasureDAO

Vào ngày 3 tháng 3 năm 2022, nền tảng giao dịch TreasureDAO đã bị tấn công, dẫn đến việc hơn 100 NFT bị đánh cắp. Lỗ hổng xuất phát từ lỗi logic trong hợp đồng TreasureMarketplaceBuyer, không phân biệt xử lý giữa token ERC-1155 và ERC-721, cho phép kẻ tấn công mua NFT mà không tốn chi phí.

Sự kiện airdrop APE Coin

Vào ngày 17 tháng 3 năm 2022, kẻ tấn công đã sử dụng khoản vay chớp nhoáng để lấy hơn 60.000 APE Coin airdrop. Vấn đề nằm ở hợp đồng AirdropGrapesToken, nó chỉ kiểm tra quyền sở hữu tức thời của người dùng đối với NFT mà không xem xét những ảnh hưởng có thể xảy ra từ khoản vay chớp nhoáng.

Sự kiện Revest Finance

Vào ngày 27 tháng 3 năm 2022, Revest Finance đã bị tấn công, thiệt hại khoảng 120.000 đô la Mỹ. Lỗ hổng tồn tại trong hợp đồng Revest, do cuộc gọi bên ngoài ẩn trong tiêu chuẩn ERC-1155, dẫn đến khả năng tấn công tái nhập.

Sự kiện NBA hack tiền

Vào ngày 21 tháng 4 năm 2022, dự án NBA đã bị tấn công. Hợp đồng The_Association_Sales gặp vấn đề về việc giả mạo và tái sử dụng chữ ký trong xác thực danh sách trắng, không ghi lại chữ ký đã sử dụng và cũng không thực hiện kiểm tra msg.sender.

Sự kiện Akutar

Ngày 23 tháng 4 năm 2022, hợp đồng AkuAuction của dự án Akutar đã bị khóa 11539ETH (khoảng 34 triệu USD) do lỗ hổng logic. Điều kiện trong hàm hoàn tiền không tính đến khả năng người dùng có thể đặt giá cho nhiều NFT, khiến cho thao tác hoàn tiền không thể thực hiện.

Sự kiện XCarnival

Vào ngày 24 tháng 6 năm 2022, XCarnival đã bị tấn công, thiệt hại khoảng 3,8 triệu USD. Hàm pledgeAndBorrow trong hợp đồng XNFT không kiểm tra hiệu quả địa chỉ xToken của NFT đã được thế chấp và trạng thái ghi lại thế chấp, cho phép kẻ tấn công có thể tái sử dụng các ghi chép thế chấp không hợp lệ để vay mượn.

Các câu hỏi thường gặp về kiểm toán hợp đồng NFT

1. Giả mạo và tái sử dụng chữ ký:

   • Thiếu xác minh việc sử dụng lại chữ ký
   • Logic kiểm tra chữ ký không hoàn thiện

2. Lỗi logic:

   • Kiểm soát tổng lượng tiền đúc không đúng cách
   • Thứ tự giao dịch trong quá trình đấu giá phụ thuộc vào tấn công

3. Tấn công tái nhập ERC721/ERC1155:

   • Chức năng thông báo chuyển khoản có thể gây ra việc gọi lại

4. Phạm vi ủy quyền quá lớn:

   • Yêu cầu ủy quyền toàn cầu thay vì ủy quyền cho từng token

5. Kiểm soát giá:

   • Giá NFT phụ thuộc vào các yếu tố bên ngoài, dễ bị ảnh hưởng bởi các phương thức như vay chớp nhoáng.

Những vấn đề này thường xuất hiện trong các cuộc tấn công thực tế, làm nổi bật tầm quan trọng của việc kiểm toán an ninh chuyên nghiệp đối với hợp đồng NFT. Phía dự án nên chú trọng đến an toàn hợp đồng, thông qua kiểm toán chuyên nghiệp để giảm thiểu rủi ro an ninh.