Analisis Masalah Keamanan Kontrak NFT dan Penjelasan Risiko Umum

Pada paruh pertama tahun 2022, insiden keamanan di bidang NFT sering terjadi, menyebabkan kerugian ekonomi yang besar. Menurut pengamatan dari suatu platform keamanan blockchain, selama periode ini terjadi 10 insiden keamanan NFT yang signifikan, dengan total kerugian sekitar 6490 juta dolar. Metode serangan utama termasuk eksploitasi kerentanan kontrak, kebocoran kunci pribadi, dan phishing. Perlu dicatat bahwa serangan phishing di platform Discord sangat merajalela, hampir setiap hari ada server yang diserang, mengakibatkan kerugian aset pengguna.

Tinjauan Kejadian Keamanan Tipikal

Peristiwa TreasureDAO

Pada 3 Maret, platform perdagangan TreasureDAO diretas, lebih dari 100 NFT dicuri. Akar peristiwa ini adalah adanya celah logika dalam kontrak, penggunaan campuran token ERC-1155 dan ERC-721 menyebabkan kesalahan perhitungan, memungkinkan penyerang untuk membeli NFT dengan biaya nol.

celah airdrop APE Coin

Pada 17 Maret, peretas memanfaatkan pinjaman kilat untuk mendapatkan lebih dari 60.000 APE Coin airdrop. Kerentanan terletak pada kontrak airdrop yang hanya memeriksa kepemilikan NFT secara instan oleh pemanggil, tanpa mempertimbangkan dampak yang mungkin ditimbulkan oleh pinjaman kilat.

Revest Finance mengalami serangan reentrancy

Pada 27 Maret, proyek Revest Finance mengalami kerugian sebesar 120.000 dolar AS. Penyerang memanfaatkan kerentanan reentrancy dalam standar ERC-1155 untuk melaksanakan serangan reentrancy selama proses pencetakan FNFT.

Kerentanan tanda tangan proyek NBA

Pada 21 April, proyek NFT terkait NBA diserang. Masalahnya terletak pada mekanisme verifikasi whitelist, terdapat dua celah utama yaitu penyalahgunaan tanda tangan dan penggunaan kembali.

Peristiwa penguncian kontrak Akutar

Pada 23 April, proyek Akutar mengalami kerentanan kontrak pintar yang mengakibatkan 11.539 ETH senilai 34 juta dolar AS ter鎖 secara permanen dalam kontrak. Penyebab utama adalah cacat desain logika fungsi pengembalian.

Serangan platform pinjaman XCarnival

Pada 24 Juni, protokol pinjaman NFT XCarnival diserang oleh hacker, dengan kerugian sekitar 3,8 juta dolar. Penyerang memanfaatkan celah logika dalam kontrak untuk meminjam dengan menggunakan catatan jaminan yang tidak valid berulang kali.

Kerentanan Keamanan Umum pada Kontrak NFT

Melalui analisis peristiwa di atas, kita dapat merangkum beberapa jenis masalah keamanan yang umum terjadi dalam kontrak NFT:

1. Kekurangan mekanisme tanda tangan: termasuk masalah penggunaan ulang tanda tangan dan penyalahgunaan.
2. Kerentanan desain logika: seperti pembatasan pencetakan yang tidak tepat, cacat logika lelang, dll.
3. Masalah implementasi standar ERC721/ERC1155: terutama risiko serangan reentrancy.
4. Otorisasi berlebihan: Pengguna memberikan otorisasi yang terlalu luas, meningkatkan risiko pencurian aset.
5. Manipulasi harga: Mekanisme penetapan harga NFT mungkin disalahgunakan secara jahat.

Masalah-masalah ini mencerminkan bahwa banyak proyek NFT mengabaikan audit keamanan yang komprehensif selama pengembangan dan penerapan kontrak. Untuk mengurangi risiko keamanan, pihak proyek NFT harus memperhatikan pekerjaan audit kontrak, menyewa tim keamanan profesional untuk evaluasi menyeluruh dan perbaikan kerentanan. Sementara itu, pengguna juga harus tetap waspada saat berpartisipasi dalam proyek NFT dan memperhatikan perlindungan keamanan aset pribadi.