安全可靠的NFT項目 你知道都是如何審計的嗎？_AND

NFT項目審計概覽

NFT是英語“Non Fungible Token”的簡稱，翻譯過來即非同質化通證。一個NFT可以被理解為是存儲在區塊鏈上的一個獨一無二的單元數據。每當談及NFT通證，我們會很自然地將其與常見的ERC-20通證進行類比。但NFT通證與ERC-20通證是有區別的，兩者的區別在于任何兩個NFT通證都互不相同，不可互換，即不同質。因此，與NFT相關的操作（比如交易等）與ERC-20通證及其它類同質數字資產（如比特幣、以太坊）的操作相比有著明顯的區別。

近年來，以NFT為核心成長出了一個全新的生態，這個生態在2021年發展尤為迅猛。但是在生態快速發展的同時，生態中的安全問題卻頻繁顯現。當業界審視這些安全問題時往往將其與ERC-20通證生態中的安全問題進行類比，但是NFT領域中出現的安全問題卻有自己的特點和差異。然而這些特點和差異卻還沒有系統地受到業界的關注和研究。

關于NFT生態中的安全問題在學術界已經有學者進行了大膽地探索和研究，比如D. Das、P. Bose、N. Ruaro、C. Kruegel和G. Vigna合著的論文。然而在實踐和具體執行過程中，對NFT安全問題該采用什么方式檢視，什么流程審查，什么措施進行防范以及從哪些角度進行防范則缺乏深入的探討和研究。

Fairyproof研究團隊根據自身積累的專業知識和審計NFT項目中積累的實踐經驗，總結了一套系統、全面的方案，在此欲與業界和關注此領域發展的同仁進行探討和交流。

如果一個項目、應用或服務和NFT交互，則我們視其為NFT項目、NFT應用或NFT服務。如果一個應用或服務和NFT交互，我們則視這個應用或服務是整個NFT生態中的一員。所有這些應用和服務一起就組成了現在我們見到的NFT生態系統。

在這個生態系統中，根據其中每個成員在技術上扮演的角色，我們將其分為四類：NFT通證部署的區塊鏈、NFT通證的實現合約、實現商業邏輯及流程的核心應用、輔助NFT工作的應用或服務。

中國工程院院士沈昌祥：安全可信是元宇宙健康發展的頭等大事:金色財經報道，在中國移動通信聯合會及元宇宙產業委員會主辦的2022元宇宙共識大會開幕式上，元宇宙產業委員會共同主席、著名信息系統專家、中國工程院院士、中央網信辦專家咨詢委員會顧問沈昌祥先生演講了《要共識 安全可信是元宇宙健康發展的頂天之大事》。

沈昌祥主席指出，元宇宙將是下一代網絡空間的主要存在和表現形式，是人與機器契合的網絡化數字空間，必須建立法治體系。中國以《網絡安全法》《密碼法》《數字安全法》等為代表的網絡空間安全法律法規體系已經基本形成，其他主權國家在這方面也都形成了各自的法律法規體系。同時，世界主要先進國家在元宇宙安全方面也都展開了深入研究。網絡空間安全既是確保元宇宙系統健康運行和發展的必要保證，同時也是陸海空天以后的第五大國家主權。無論是從確保元宇宙系統安全和健康發展的角度，還是從確保國家主權和權益的角度，都必須確保元宇宙網絡空間的安全可信，確保智能社會和元宇宙的健康發展。[2022/5/27 3:45:15]

對于NFT項目的審計，這四類成員都需要關注和審視。如果NFT部署的區塊鏈不能正常工作，項目就失去了根本；如果NFT通證的實現合約有問題，那NFT就無法正常工作，項目就失去了內核；如果項目的商業邏輯和流程設計有問題，那項目就只剩下毫無生命力的NFT通證；如果輔助NFT工作的應用或服務不能正常工作或者項目沒有選擇合適的輔助應用或服務，則NFT就無法將其潛力充分發揮。

因此這四者的安全和審計缺一不可，都不能忽視。在本文接下來的篇章，我們將對這四者的安全及審計分別展開論述。

對區塊鏈的審計

對于NFT項目所部署的區塊鏈，如果它是一條比較成熟的區塊鏈（比如以太坊），則通常情況下，無需再對其進行審計，這一步可以跳過。因為成熟的區塊鏈已經在經年累月的發展和成長中，歷經各種安全事故的挑戰和磨練，在安全上已經有了較為可靠的保障和信用。如果其部署的區塊鏈是新生的，則理論上對區塊鏈的審計是不能忽略的。

鏈城湯泉：安全可信的數字藏品平臺需要具備三大特質:3月30日消息，鏈城數字科技有限公司咨詢總監湯泉在中國信證聯盟數字藏品高峰論壇上表示，安全可信的數字藏品平臺需要具備鏈上成員清晰明確、鏈上數據不可滅失、鏈上行為見證背書幾大特質。信證鏈作為全國首個也是規模最大的取證、存證和固證運營平臺，鏈接了全國范圍內30余個省市公信機構，旨在打造可信數字社會的基礎設施和可信數據使用接口。

基于信證鏈的數字藏品平臺，具有公開透明、價值流通、權威可信的特征，平臺覆蓋數字藏品發行、轉讓贈送、社區交流等應用場景，支持多種交易類型，為平臺創作者、收藏愛好者、博物館、運營者等提供有情懷、可持續的價值流通平臺。[2022/3/30 14:27:50]

對區塊鏈的審計在業界已經相對成熟。此類審計的方式、方法、流程及重點和難點已經是包括Fairyproof在內的區塊鏈安全公司比較熟練的業務和領域。對業界和安全公司來說，這類審計并不陌生。

對NFT實現合約的審計

NFT通證的實現，從技術上來講和常見的ERC-20通證類似，都是由一個或多個智能合約組成。但是，由于NFT實現所基于的通證標準（比如ERC-721和ERC-1155）和ERC-20同質通證不同，因此NFT通證中可能出現的問題也與ERC-20通證略有不同。這其中一個典型的問題就是NFT的發行功能在實現時是否使用了合適的隨機數。如果使用的隨機數不合適，則NFT在發行時可能遭遇“回滾”攻擊，即用戶可以通過不斷回滾交易，直到獲取自己偏好的NFT。因此對NFT實現合約的審計也和對ERC-20合約的審計略有不同，其主要表現在關注點、重點和難點有所不同。

對此，Fairyproof在實踐中系統地總結了經驗，并開發一套自動化的審計工具，能夠快速定位NFT合約中的風險點，排除潛在風險。

對核心商業邏輯應用的審計

浙江大學蔡亮：建議大力發展安全可控的區塊鏈平臺:浙江大學區塊鏈研究中心常務副主任蔡亮近日表示，應對發展過程中出現的數據確權、數據安全、隱私保護、流通監管等關鍵問題，建議大力發展安全、自主、可控的區塊鏈技術平臺，積極探索這一技術在改造和提升傳統產業、服務于供應鏈金融、數字身份、慈善捐助等方面的融合應用。（人民日報）[2020/9/11]

這里我們所指的核心商業邏輯應用主要是指在一個NFT項目中，實現商業邏輯的部分。這部分應用會和各類NFT通證交互。

在一個NFT項目中實現商業邏輯的應用通常可分為兩類：

一類是典型的互聯網2.0應用。它在項目中和NFT的交互及實現的商業邏輯比較簡單，通常只涉及一些簡單的NFT操作，比如NFT的發行、NFT的轉賬等。近年極為流行的“PFP”項目就屬于這類。

另一類是包含了互聯網2.0應用和區塊鏈智能合約的綜合應用。這類綜合應用包含的NFT操作要復雜得多，除了簡單的NFT發行和轉賬，還有NFT通證的管理、NFT通證的抵押等。現在NFT生態中最大的應用比如交易平臺就是這類。

盡管這兩類應用在復雜程度上有區別，但它們和基于ERC-20通證的應用相比都展現出一些特有的共性，這些共性也是NFT應用的共性。

這些共性主要表現在：首先NFT應用涉及的鏈上操作不如ERC-20通證應用（比如DeFi應用）涉及的鏈上操作復雜；其次很多NFT應用面向的用戶是非技術類人士，這些用戶有些甚至沒有區塊鏈方面的知識，也不了解基于區塊鏈的數字貨幣。

因此為了讓大量非專業領域的用戶在無需具備區塊鏈或數字貨幣知識的情況下毫無障礙地使用和參與NFT項目，很多開發團隊會花費大量的精力和資源來設計和優化用戶界面，使之更符合用戶已經在互聯網2.0應用中建立起來的習慣。這便自然而然地使一些項目在設計和開發的過程中大量沿襲使用互聯網2.0應用的技術和流程。一方面，這降低了用戶的使用門檻，更便于新用戶進入NFT領域；但另一方面，這也使得這些NFT應用有過于中心化的傾向。這種過于中心化的傾向不僅存在于應用的技術實現上，也存在于商業邏輯和流程中。

聲音 | 西南財大段江：四川可以利用優質資源推動區塊鏈技術安全可信地實現資產數字化:據四川日報消息，10月31日，西南財經大學中國區塊鏈研究中心主任、教授，西南財經大學中國區塊鏈研究中心研究員段江發表文章《推動四川區塊鏈技術和產業創新發展的思考》。文章指出，四川幅員遼闊，人口眾多，經濟總量居于全國前列，為區塊鏈產業發展儲備了充足的市場空間。天府新區設立、天府國際機場建設、蓉歐快鐵開通，一系列看似離散分割的優質資源，都可以利用區塊鏈技術安全可信地實現資產數字化，從而更高效地實現整合和配置，為四川發展貢獻合力。四川應用區塊鏈技術推進高質量發展，加快布局區塊鏈產業新的增長極正好能為全省“多點多極”快速發展提供有力支撐。電子信息產業發展良好，特別是信息安全產業基礎雄厚，為區塊鏈技術儲備了技術、人才。[2019/10/31]

這里我們想特別強調的是：在現有NFT應用中涉及到商業邏輯和流程的部分可能會存在什么問題、是否有某些未知的隱患等還沒有引起業界尤其是安全領域從業者的足夠關注和研究。比如在目前諸多流行的NFT交易平臺中，KYC還并未被強制要求，更談不上堅決執行，在這種情況下如何防范安全事故及對黑客身份的追蹤、定位；再如對NFT項目“真偽”的驗證在大多數交易平臺上還只是可選項而非必須執行項，在這種情況下如何防止用戶誤入假冒項目；還有對于NFT原創團隊在設定及收取交易分紅（royalty）方面目前各類平臺所采用的流程和方式是否存在安全上的漏洞和隱患以及是否存在欺詐和不公？......

對上述問題的展開和研究目前都鮮有看到業界提及，更遑論進行深入的探討。

對此Fairyproof一直在進行跟蹤研究和探索，并在這些方面積累和總結了經驗，并研發了一套綜合性的框架和系統，能給NFT領域的從業者提出建設性的意見及切實可行的方案。

對輔助服務或應用的審計

這里所提到的輔助服務或應用是指有助于NFT充分發揮其功能或特色的服務或應用。典型的如為NFT存儲元數據（metadata）的服務或應用.?

聲音 | 央行科技司司長：金融科技必須走安全可控、正本清源之路:央行科技司司長李偉表示：“部分機構打著金融科技的幌子，走非法集資、龐氏騙局等歪門邪路，借金融科技之名行坑蒙拐騙之實，嚴重侵害人民群眾的利益，是堅決不允許的。”他強調，金融科技必須要守住不發生系統性金融風險的底線，走安全可控、正本清源之路。[2018/7/7]

興起于2021年的PFP項目就利用了輔助服務或應用。這類典型的NFT項目往往是發行一定恒定數量的NFT，每個NFT都有一個獨一無二的圖片，每個圖片包含各種特征的組合。對每個NFT來說，這個圖片就是它的元數據。

這些圖片往往為了吸引用戶買入和持有都經過精心的設計而獨具特色，因此圖片的保存和顯示對這類NFT項目來說就顯得非常重要。很多項目在設計時都考慮了使用各種方案使圖片能夠盡量永久保存。因此什么樣的服務或應用能夠提供可靠、穩妥的永久存儲就是這些項目方關注的重點。

目前在業界常見的存儲方案主要有去中心化的存儲應用和中心化的存儲應用。前者典型的有IPFS、Arweave等。后者主要有亞馬遜云等。

但是這些存儲方案并非每個都能現成地提供永久存儲，有些可以提供永久存儲但費用較高，有些只能提供按時收費的臨時存儲，各有優缺點。因此如何綜合考慮使用一種或多種方案進行組合，構建一套能夠永久存儲的服務就是項目開發者必須考慮的問題。

但是當項目方考慮使用這些方案時，這些方案本身可能存在什么問題？在組合使用這些方案時可能存在哪些安全上的隱患或者潛在風險？如何規避和防范這些隱患或潛在風險？有關這些問題的討論和研究至今所見相當有限。

Fairyproof自成立伊始便開始關注這個領域的研究和探索，尤其是在安全實踐中可能會存在什么難點和重點等。我們基于自身的積累和實踐，探索、研發了一套系統的方案用來評價和審查NFT輔助服務或應用，并研發、部署了一套全面的流程和系統以檢視這些輔助服務或應用在各類實踐方案中可能存在的安全隱患及潛在風險。

對NFT項目的審計不單單是對NFT智能合約的審計，它是一個系統工程、是一套綜合流程，需要從生態的角度全面審視NFT本身、其核心業務邏輯及所涉及的周邊應用、基礎設施和輔助服務。

Fairyproof一直并將持續、密切地關注NFT生態的發展，持之以恒地深入研究這個領域的安全問題，在已經建立的成熟框架上繼續擴展和探索領域內最新的發展，并繼續和同業分享我們對前沿問題的思考和前瞻判斷。

參考文獻：

Non-fungible token, https://en.wikipedia.org/wiki/Non-fungible_token, Feb 22, 2022

ERC-20 Token Standard, https://ethereum.org/en/developers/docs/standards/tokens/erc-20/

Understanding Security Issues in the NFT Ecosystem, https://arxiv.org/abs/2111.08893, Jan 19, 2022

ERC-721 Non-fungible Token Standard,

https://ethereum.org/en/developers/docs/standards/tokens/erc-721/

EIP-1155: Multi Token Standard, https://eips.ethereum.org/EIPS/eip-1155?

A Beginner’s Guide to Understanding PFP NFTs,

https://medium.com/geekculture/a-beginners-guide-to-understanding-pfp-nfts-8714e9d30d0b, August 29, 2021

CryptoPunks, https://www.larvalabs.com/cryptopunks

BAYC, https://boredapeyachtclub.com/#/

OpenSea, https://opensea.io/

Rarible, https://rarible.com/

Curve, https://curve.fi/

MakerDAO, https://makerdao.com/

Nifty Gateway, https://niftygateway.com/

metadata, https://csrc.nist.gov/glossary/term/metadata

IPFS, https://ipfs.io/

Arweave, https://www.arweave.org/

AWS, https://aws.amazon.com/

About the author:

Yuefei TAN, CEO of Fairyproof

About Fairyproof:

Fairyproof Tech is a blockchain security company, established in Jan 2021.

It was founded by a team with rich experience in smart contract programming and network security. The team members participated in initiating a number of draft standards in the Ethereum field, including ERC-1646, ERC-2569, ERC-2794, and EIP-3712, of which ERC-2569 was officially accepted by the Ethereum team.

The team participated in the launch and development of various Ethereum projects, including blockchain platforms, DAO organizations, on-chain data storage, decentralized exchanges, and conducted security audits of multiple projects which have been deployed on Ethereum. Based on its strong R&D capability and deep understanding of smart contract security, Fairyproof has developed comprehensive vulnerability tracking and security systems and tools.

Fairyproof Tech serves and works closely with customers by providing systematic solutions covering both “code vulnerabilities” and “logic vulnerabilities” and aims to provide customers with the best and most professional services.

Tags：NFT區塊鏈ANDTPSMYNFT區塊鏈卡鏈是什么意思Decentralandtps幣圈

USDT