Một vài vấn đề đã bắt đầu xuất hiện kể từ khi NFT ra mắt thị trường khiến nhiều người cảm thấy lo ngại bởi nó không thật sự an toàn như người ta vẫn nghĩ trước đây. Tuy nhiên, điều đáng nói là vấn đề không thật sự nằm ở chính các NFT? Vậy, nguyên nhân do đâu?
NFT là một bản hợp đồng thông minh và hợp đồng này ắt hẳn sẽ có lỗ hổng bảo mật, đây là điều hiển nhiên không thể tránh khỏi. Về bản chất, hợp đồng thông minh chỉ là các đoạn mã, nếu nó được viết càng phức tạp thì sẽ có nhiều cơ hội để lỗi xuất hiện. Tất nhiên, nhà phát triển luôn nỗ lực cải thiện các sản phẩm của họ để khắc phục những lỗ hổng bảo mật tồn đọng.
Dù vậy, không một sản phẩm nào là hoàn hảo tuyệt đối, dù ít hay nhiều, lỗi vẫn sẽ tồn tại và tiềm ẩn những nguy cơ đặc biệt nguy hiểm nếu kẻ xấu phát hiện rồi khai thác chúng.
Đây là lý do tại sao các cuộc kiểm tra bảo mật vẫn nên được thực hiện, vì mã của các hợp đồng thông minh đòi hỏi nhiều sự chú ý hơn. Sau đó, và chỉ khi đó, các hợp đồng thông minh – và ở một mức độ nào đó, các NFT – mới được bảo mật đầy đủ.
Đây chính là nguyên nhân vì sao các sản phẩm trên nền tảng kỹ thuật số luôn được bảo trì định kỳ và cập nhật các bản vá liên tục. Tất nhiên, hợp đồng thông minh cũng không phải là ngoại lệ, đôi khi chúng cần phải được chú ý nhiều hơn so với mức bình thường. Thông qua việc kiểm tra thường xuyên, các NFT mới được bảo vệ một cách an toàn.
Hãy điểm qua một số lỗi khá phổ biến nhưng đặc biệt nguy hiểm và thường xuất hiện trong các bản hợp đồng thông minh:
Lỗ hổng trong quá trình giao dịch NFT
Quá trình bán các NFT là một trong những cơ hội để kẻ gian có thể tận dụng và chiếm đoạt tài sản. Một ví dụ điển hình cho lỗ hổng bảo mật này là đợt Adidas công bố các sản phẩm NFT riêng của hãng. Một số kẻ gian đã “vượt rào” thành công, gây thiệt hại đáng kể cho thương hiệu kể trên.
Trong quá trình giao dịch, vài “hacker” đã tìm cách vượt qua giới hạn về số lượng NFT tối đa mà một chiếc ví được phép mua. Kết quả là những kẻ xấu này đã chiếm đoạt 330 NFTs, khiến bộ sưu tập NFT đầu tay của Adidas “Into the Metaverse”, bị gián đoạn vĩnh viễn. Tất cả những gì mà hacker phải làm là loại bỏ giới hạn có thể được ghi trên mỗi ví Ethereum.
Lỗ hổng thị trường
Lỗ hổng tiếp theo không nhất thiết liên quan đến NFT, mà vấn đề nằm ở các sàn giao dịch. Một ví dụ điển hình là OpenSea, thị trường NFT lớn nhất trên thế giới. Cách đây không lâu, OpenSea đã bị tấn công, trong đó các “hacker” đã cố gắng mua lại các đồng “coin” với mức giá cũ.
Lỗ hổng này cho phép một số người mua NFT có giá thấp hơn so với thời điểm thực tế. Dự án đáng chú ý nhất bị ảnh hưởng bởi đợt tấn công là Bored Ape Yacht Club, một NFT của thương hiệu này (mã # 9991) được mua với giá 0,77 ETH, sau đó kẻ tấn công bán lại nó với giá 84,2 ETH.
“Private key” bị lộ
Vấn đề thứ ba không thực sự do NFT. Trên thực tế, nó đã là một phần của ngành công nghiệp tiền điện tử kể từ khi nó xuất hiện. Vấn đề xoay quanh việc lưu trữ an toàn các khóa cá nhân, được sử dụng để truy cập ví và thực hiện thanh toán.
Tin tặc đã xác định được nhiều phương pháp có thể sử dụng để lợi dụng các nhà đầu tư thiếu kiến thức và đánh cắp “private key” sau đó truy cập vào ví NFT của họ. Một trong những phương pháp thường được sử dụng là lừa đảo. Một lần nữa, OpenSea lại là nạn nhân, gần đây sàn giao dịch này đang hứng chịu các cuộc tấn công từ phía tin tặc, một loạt thông báo nặc danh đã được gửi đến khách hàng của OpenSea, sau khi người dùng truy cập vào các đường dẫn của tin tặc, họ bị mất thông tin cá nhân.
Tấn công “Re-entrancy”
Một kiểu tấn công khác được gọi là “Re-entrancy” và kiểu tấn công này liên quan đến OpenZeppelin. Về cơ bản, các tính năng bảo mật NFT của OpenZeppelin có chức năng gọi là “callback”.
Đây là một chức năng nhằm giúp nhà phát triển tích hợp NFT vào các dự án của họ. Tuy nhiên, nó cũng có thể bị lạm dụng để thực hiện các cuộc tấn công re-entrancy, với điều kiện là các nhà phát triển bất cẩn trong việc đưa ra các giải pháp bảo mật. Một trong những ví dụ mới nhất về cuộc tấn công này đã xảy ra vào ngày 3 tháng 2 khi một hợp đồng HypeBeast NFT đã bị tấn công.
Dự án có giới hạn về số lượng NFT mà một tài khoản có thể tạo ra, nhưng những kẻ tấn công đã sử dụng hàm mintNFT để tái sử dụng hành động “mint” một lần nữa.
Trải thảm đỏ để lừa đảo NFT
Đã có rất nhiều ví dụ về điều này, chẳng hạn như Cool Kittens, hứa hẹn với các nhà đầu tư một NFT về mèo, token của dự án này gọi là PURR và với tư cách thành viên trong một DAO. Tất cả đều là một công thức hoàn hảo để xây dựng nên dự án NFT. Chỉ ba tuần sau khi công bố bộ sưu tập NFT, dự án đã bùng nổ, bán được hơn 2.200 NFT chỉ trong vài giờ, với mức giá 70 đô la một chiếc. Các nhà phát triển đã thu thập được 160.000 đô từ khách hàng và sau đó họ chỉ đơn giản là biến mất cùng với số tiền đó. Đây chỉ là một ví dụ khá điển hình, không chỉ trong lĩnh vực tiền điện tử mà còn nhiều ngành nghề khác, nhà phát triển “bốc hơi” nhanh chóng sau khi “lùa gà” thành công. Rất nhiều lời hứa hẹn béo bở và tất nhiên đó cũng chỉ là lời hứa mà thôi. Điều quan trọng là hãy tỉnh táo trước khi đưa ra quyết định đầu tư tiền bạc của mình.
Đọc thêm:>>> Cơ cấu hoạt động Proof-of-Work một lần nữa trở thành tâm điểm thảo luận của Nghị viện Châu Âu
Source: Gleb Zykov – CryptoSlate
