Trong những năm gần đây, mã thông báo không thể thay thế (NFT) đã trở nên phổ biến như một phương tiện mã hóa các tài sản kỹ thuật số đặc biệt như âm nhạc, nghệ thuật và đồ sưu tầm. Tuy nhiên, do giá trị tiềm năng của những tài sản này và những hậu quả nghiêm trọng tiềm ẩn của hành vi trộm cắp hoặc gian lận, nên tính bảo mật của NFT và nền tảng mà chúng được trao đổi trên đó là một điều đáng lo ngại. 

Sau đây là một số vấn đề bảo mật điển hình nhất và cách phát hiện chúng:

Tính dễ bị tổn thương của hợp đồng thông minh: NFT dựa trên công nghệ blockchain và các hợp đồng thông minh cơ bản có thể có những sai sót có thể bị các bên xấu lợi dụng để trục lợi. Điều quan trọng là phải kiểm tra mã và tìm kiếm các lỗi hoặc lỗ hổng bảo mật đã biết để tìm ra các lỗ hổng này.

Tấn công lừa đảo: Lừa đảo là một kỹ thuật phổ biến được những kẻ xấu sử dụng để đánh cắp NFT hoặc các tài sản kỹ thuật số khác. Điều quan trọng là phải thận trọng với các email hoặc tin nhắn không mong muốn yêu cầu thông tin cá nhân hoặc quyền truy cập tài khoản để ngăn chặn các cuộc tấn công này. Không bao giờ nhập thông tin cá nhân vào biểu mẫu trực tuyến trừ khi bạn rất chắc chắn rằng thông tin đó an toàn và luôn xác nhận tính hợp pháp của người gửi.

Thao túng thị trường: Các bên không đáng tin cậy có đủ sức ảnh hưởng trên thị trường có khả năng bóp méo giá trị của NFT. Điều quan trọng là phải chú ý đến các mô hình thị trường và để ý đến những đợt tăng giá bất thường hoặc giảm giá đột ngột để phát hiện những hành vi thao túng này.

Lưu trữ không bảo mật: Nếu NFT được lưu trữ trên nền tảng phi tập trung hoặc trong ví cá nhân, chúng có thể bị mất hoặc bị đánh cắp nếu lưu trữ không an toàn. Sử dụng ví an toàn và thực hiện các biện pháp phòng ngừa để bảo vệ quyền truy cập vào ví, chẳng hạn như bằng cách sử dụng xác thực hai yếu tố hoặc ví phần cứng, để bảo mật NFT.

Các vụ hack NFT chính

Vụ hack Binance vào năm 2021: Vào tháng 5 năm 2021, Binance, một trong những sàn giao dịch tiền điện tử lớn nhất, đã báo cáo rằng họ đã gặp phải một vi phạm bảo mật dẫn đến hành vi trộm cắp hơn 40 triệu đô la tiền điện tử, bao gồm cả NFT.

Vụ hack Gnosis Safe vào năm 2021: Vào tháng 4 năm 2021, một lỗ hổng trong Gnosis Safe, một ví Ethereum phổ biến, đã bị khai thác bởi một hacker đã đánh cắp hơn 13 triệu đô la tiền điện tử, bao gồm cả NFT.

Vụ hack Basis by Art Station vào năm 2021: Vào tháng 2 năm 2021, nền tảng Basis by Art Station đã gặp phải một vi phạm bảo mật dẫn đến hành vi trộm cắp hơn 1 triệu đô la tiền điện tử, bao gồm cả NFT.

Một lỗ hổng lớn trên thị trường OpenSea NFT đã cho phép tin tặc mua NFT có giá trị từ khách hàng vào tháng 1 năm 2022 với mức chiết khấu đáng kể. Theo Elliptic, một doanh nghiệp phân tích AML trên blockchain, năm kẻ tấn công đã sử dụng lỗ hổng lỗi để mua ít nhất 12 NFT, bao gồm cả những NFT từ Bored Ape Yacht Club, Mutant Ape Yacht Club và Cool Cats NFT.

Những kẻ bất hợp pháp cũng đã sử dụng máy chủ chính thức của Larva Labs để chiếm quyền điều khiển hoặc vượt qua máy chủ chính thức của các dự án NFT khác, bao gồm Discord, một nền tảng trò chuyện phổ biến dành cho cộng đồng NFT. Vào tháng 12, một hacker đã giành được quyền truy cập vào máy chủ Monkey Kingdom Discord, một bộ sưu tập NFT do các doanh nhân Hồng Kông thành lập và sử dụng kế hoạch lừa đảo để đánh cắp 7.000 Solana, tương đương gần 1,3 triệu USD, từ những người mua tiềm năng.

Các vấn đề liên quan đến vi phạm bản quyền không có gì mới đối với lĩnh vực NFT. Trong một tweet gần đây, OpenSea tuyên bố rằng thư rác, bộ sưu tập không có thật và các tác phẩm bị đạo văn chiếm hơn 80% những thứ được tạo ra bằng công cụ khai thác miễn phí của họ.

Forkast cho biết các tác phẩm đạo văn luôn là một vấn đề và sẽ tiếp tục là một vấn đề trong hoạt động kinh doanh NFT. Do đó, điều quan trọng là người mua phải xác thực thông qua nhiều kênh khác nhau rằng trên thực tế, họ đang mua NFT từ một tác giả có uy tín, cho dù nguồn đó là thị trường hay xác nhận mạng xã hội.

Tại sao tin tặc chọn tấn công NFT?

Do giá trị to lớn và tính đặc biệt của những tài sản kỹ thuật số này cũng như quy định tương đối lỏng lẻo của thị trường, tin tặc đã nhắm mục tiêu vào NFT. NFT có thể bị tấn công trên một số nền tảng và cơ sở hạ tầng NFT do các biện pháp bảo mật không đầy đủ. Tin tặc có thể thấy việc duy trì tính ẩn danh của mình đơn giản hơn do những thách thức liên quan đến việc theo dõi các giao dịch NFT trên công nghệ blockchain. Do tính thanh khoản cao, dễ dàng giao dịch và chuyển đổi sang các loại tiền điện tử khác, NFT cũng là mục tiêu mong muốn của tin tặc. Bảo mật tài sản kỹ thuật số và luôn chú ý chống lại các cuộc tấn công tiềm ẩn là rất quan trọng để bảo vệ NFT. Điều này đòi hỏi phải thực hiện kiểm tra hợp đồng thông minh, áp dụng các tùy chọn lưu trữ an toàn và luôn cập nhật các phương pháp bảo mật tốt nhất gần đây nhất. Những người nắm giữ NFT có thể đảm bảo khoản đầu tư của mình và giảm nguy cơ bị trộm hoặc mất mát bằng cách áp dụng các biện pháp phòng ngừa này.

Blockchain hàng đầu cho NFT 

Các nhu cầu và tiêu chí cụ thể của dự án NFT sẽ xác định nên sử dụng blockchain nào. Các nền tảng blockchain hàng đầu của NFT bao gồm:

  1. Ethereum: Các tiêu chuẩn ERC-721 và ERC-1155 được Ethereum hỗ trợ, đồng thời cũng có cộng đồng phát triển mạnh mẽ và hỗ trợ các hợp đồng thông minh.

  2. Binance Smart Chain (BSC): Phí giao dịch thấp và thời gian xử lý nhanh chóng là những đặc điểm của chuỗi khối hiệu suất cao này

  3. Polygon (trước đây là Matic Network): Đây là giải pháp mở rộng quy mô Lớp 2 cho Ethereum, mang lại khả năng chi trả và khả năng mở rộng cao hơn.

  4. Flow: một blockchain được tạo riêng cho tài sản kỹ thuật số và NFT cho phép giao dịch nhanh chóng và không tốn kém

  5. WAX là một thị trường phi tập trung cho phép mua, bán và giao dịch các tài sản ảo, bao gồm cả NFT.

Lý do cần kiểm tra hợp đồng thông minh trong các dự án NFT:

Bảo mật: Xác định và sửa các lỗ hổng trong mã tự thực thi, cải thiện bảo mật NFT tổng thể.

  1. Độ tin cậy: Đảm bảo các hợp đồng thông minh hỗ trợ các giao dịch có giá trị cao hoạt động như dự định.

  2. Tuân thủ: Đảm bảo dự án NFT tuân thủ các yêu cầu quy định hoặc tiêu chuẩn ngành.

  3. Danh tiếng: Ngăn chặn các vi phạm an ninh và các vấn đề khác với công nghệ hợp đồng thông minh để bảo vệ danh tiếng của dự án và niềm tin của nhà đầu tư.

Bản tóm tắt:

Các lỗ hổng kỹ thuật xã hội và hợp đồng thông minh có thể được sử dụng để đánh cắp NFT. Các kỹ thuật lừa đảo xã hội có thể thuyết phục người dùng chuyển NFT đến các địa chỉ độc hại, trong khi các lỗ hổng có thể cho phép gắn NFT mà không cần sự đồng ý.

Bằng cách tiến hành kiểm tra bảo mật định kỳ và đề xuất cải tiến, kiểm toán viên hợp đồng thông minh có thể đóng góp đáng kể vào việc bảo vệ NFT. Người dùng phải theo kịp các mối đe dọa bảo mật gần đây nhất và thực hiện các biện pháp phòng ngừa để bảo mật NFT của họ nhằm giảm nguy cơ vi phạm NFT.

Thẩm quyền giải quyết: 

  1. Amanda Hetler, 8 cách để tránh lừa đảo NFT, tháng 5 năm 2022, Tạp chí Tech Target 

  2. Báo cáo nổi bật về các vụ hack và lừa đảo NFT, tin tức Forkast

  3. Langston Thomas, Lừa đảo NFT: Cách giữ ví của bạn an toàn khỏi bị hack, ngày 31 tháng 1 năm 2023, Tạp chí NFT Now 

  4. Wisdom Sablah, 5 trò lừa đảo NFT phổ biến nhất năm 2023: Các dự án NFT giả mạo, các kế hoạch Pump & Dump, v.v., tháng 12 năm 2022, Cloudwards

Bài đăng Hướng dẫn chuyên môn về bảo mật hợp đồng thông minh NFT: Cái nhìn toàn diện về kiểm toán xuất hiện đầu tiên trên Coinfomania.