比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > BNB > Info

瘋狂“出圈”和刷屏之后 Web3.0熱潮下的NFT安全如何保證?_NFT

Author:

Time:1900/1/1 0:00:00

最近一段時間,Web3.0不斷“刷屏”,NFT瘋狂“出圈”,有人擼空投,有人搞收藏,有人說,NFT的爆炸性增長正在推動Web3.0的發展。

Web1.0到Web2.0實現了內容的消費者向內容生產者的轉變,其本質是進行了一次從物理世界向網絡世界的平行時空的大遷徙,當我們暢談Web3.0的發展時,不得不進一步提到關于區塊鏈,因為區塊鏈的去中心化、去信任和防篡改的特性很好的對標了Web3.0的目標——創造新一代互聯網,讓每個用戶掌握自己的數據、身份和命運。

Web3.0基于區塊鏈而存在,承諾將隱私和數字身份還給用戶,同時由于NFT等的應用,實現了新的互動水平。但我們更需要的是Web3.0熱潮下NFT的諸多“危險”與“隱患”,最近NFT領域隨處可見的“黑客事件”也證明了我們需要將“安全”放在第一位。

谷歌瘋狂游說歐盟政界人士,希望修改《數字市場法案》:1月11日消息,據報道,谷歌正面向歐盟政界人士和官員瘋狂地發布廣告、電子郵件和有針對性的社交媒體內容,為修改歐盟針對大型科技公司的新法規做最后的努力。歐盟新法規《數字市場法案》的生效日期日益臨近,對于一些可能會產生嚴重商業影響的條款,之前可能還沒有引起谷歌高管們的足夠重視。

如今,谷歌正加強這方面的工作。一位谷歌內部人士日前表示:“公司的高層管理人員一直都知道《數字市場法案》,但他們現在才意識到其嚴重性。”[2022/1/11 8:41:36]

近期發生了哪些NFT合約安全事件?

4月21日,NBA的NFT項目合約遭受攻擊,攻擊者利用了簽名未驗證,在合約代碼中,vDatamemory參數info在傳入函數中未進行驗證導致簽名可復用,攻擊者可以通過使用其他人的簽名來進行Mint,導致項目方被瘋狂“薅羊毛”。

聲音 | TradingView總經理:加密貨幣已度過了瘋狂交易階段:金色財經報道,TradingView總經理Pierce Crosby表示,2017-2018年的市場高度波動是Pet.com的“代表”,他將該階段稱為“瘋狂的交易狂熱”。根據Crosby的說法,這種狂熱可能是山寨幣的“復興”。仍處于萌芽階段的加密貨幣被吹捧為一場革命和游戲規則的改變者。Crosby還談到過去幾年加密交易領域的成熟,例如Coinbase等知名平臺提供多樣化投資組合。據悉,在線寵物店Pets.com是最廣為人知的互聯網泡沫之一。在2000年通過IPO籌集了8200萬美元后不久,該公司就資金告罄,成為最引人注目的失敗案例之一。[2019/12/24]

聲音 | 中國信息研究院區塊鏈主管:ICO融資太瘋狂不規范 行業充滿了投機欲望:根據新華網報道,中國信息通信研究院高級工程師、區塊鏈主管卿蘇德博士向記者爆料:“瘋狂時,ICO一周內就可完成集資,而正規集資要經過種子輪、天使輪、Pre-A、A、B……等規范嚴格的多輪融資才能獲得。”同時表示:“2017年底的發幣狂潮就是與現實結合的幻想,喚醒了很多人投機的欲望,利潤越大人越會失去理性,很多投資的人根本不知道比特幣、區塊鏈是什么,也不知道自己買的項目是做什么的。”[2018/8/21]

而在4月23日,NFT項目Akutar驚現低級漏洞,它的AkuAuction合約由于智能合約本身漏洞,導致11539ETH被鎖死在合約中。經成都鏈安技術團隊分析,發現Akutar項目的智能合約包含2個漏洞:

創業工場創始人麥剛:區塊鏈是人類最偉大的投資機會,也是最瘋狂的投機泡沫:金色財經現場報道,在2018飛鳥·中國區塊鏈技術與應用高峰論壇上,創業工場創始人麥剛提出:區塊鏈技術不僅僅是一次技術革命,更引發了兩次金融革命:比特幣(數字貨幣)和ICO(代幣發行)。區塊鏈技術已經產生比特幣和以太坊兩個成功的應用,將來會出現更多成功的應用,但ICO項目可能有很多包裝手段和可操控環節,應該非常小心。他還表示,不希望行業因為無規則、無監管導致暴漲或暴跌,期待未來的區塊鏈項目擁有核心競爭力和長期價值。[2018/3/29]

第一個合約漏洞在processRefunds中,設計者根據refundProgress計數器進行循環退款,而如果有攻擊者此時在fallback中進行revert則會導致后面的人都無法進行退款,這個漏洞被人在鏈上證明但沒有進行攻擊利用。

比特幣瘋狂上漲的幕后推手是日本人:據外媒報道,德銀證券全球金融策略師Masao Muraki在周四發表的研報中表示,最近比特幣瘋狂大漲的主導力量可能是日本人。“我們認為,零售投資者已從杠桿外匯交易轉戰杠桿加密貨幣交易。報告顯示,那些從事杠桿外匯交易的30多歲和40多歲的日本男性(或者以前從事這一行業但已收手的人。[2017/12/15]

第二個漏洞在claimProjectFunds中,require語句的totalBids變量應該是bidIndex,這個漏洞使得該判斷條件永遠失敗,導致無法執行后續的提款操作。最終,導致項目方11539ETH(價值約3400萬美元)被鎖定無法提取。

可見關注NFT合約風險,變得越來越緊迫。

NFT合約問題包括哪些?

根據NFTSCAN數據顯示,目前全球NFT項目已接近七萬個,而且數據還在持續增長中。

數據來源:NFTSCAN

NFT作為Web3.0的底座,它的安全問題對行業發展同樣重要,為了護航Web3.0的安全生態,成都鏈安通過智能合約形式化驗證工具鏈必驗對上千個NFT項目進行漏洞掃描,發現NFT常見的合約問題還包括以下幾類:

業務邏輯相關問題:

此類問題可能直接導致合約的業務邏輯出錯。

漏洞描述:chapterAuctionMinted的值永遠為初始值,但是在此處使用的判斷條件中,使用了該值進行條件檢查。如果在開發期間使用掃描后,開發者可根據掃描結果判斷是否是相關邏輯缺失,亦或是冗余代碼。

漏洞描述:未檢測返回值。在NFT項目中,經常存在有償鑄幣的功能,調用者需要將作為鑄幣手續費的ERC20代幣發送到NFT鑄幣合約中,然后NFT鑄幣合約為其鑄造對應數量的NFT代幣。但是部分ERC20合約存在假充值的問題,即轉賬失敗不拋出異常而是返回false,這樣就會導致一個問題,攻擊者可以利用這點,在未支付手續費的情況下,鑄造任意數量的NFT。開發者應根據VaaS掃描結果的建議,檢查transferFrom操作的返回值或者使用safeTransferFrom函數進行ERC20代幣轉賬。

代碼規范相關問題

此類問題可能不會直接造成業務邏輯出錯,但是會影響代碼的可讀性,造成合約調用時有多余的gas消耗等。同時不規范的代碼也容易導致編寫時邏輯混亂,有隱藏的邏輯錯誤的概率更高。

漏洞描述:此處循環的結束條件為curr>=0,而curr為uint導致curr>=0恒滿足。此處會導致循環無法正常結束。在掃描中會對這類結果為定值的條件進行告警,用戶可以通過提示確認此處邏輯,對條件進行刪除或修改。

漏洞描述:此處event中將string類型的數據標記了indexed,該寫法會導致在事件結果中無法直接獲得對應的string結果。建議用戶參考的提示,僅使用indexed修飾固定長度的變量。

研究發現,大多數的NFT合約都沒有進行過專業的安全審計,這就存在很大的安全隱患,容易導致攻擊事件的發生,造成資產的損失。所以NFT智能合約開發者應具備基本的安全開發意識,了解智能合約開發應注意的安全問題;此外,在合約設計和實現時,注意代碼實現的正確性。我們建議開發完成后,可使用對項目進行安全檢測。項目上線前,可選擇安全審計,規避安全風險。

安全,是區塊鏈技術能夠得以長足發展的重要保證,守護Web3.0的安全也變得愈發重要。今天我們所講的業務邏輯相關問題和代碼規范性相關問題,也是智能合約里面常見的問題類型?,后續我們將繼續推出NFT相關安全文章,請大家持續關注我們

Tags:NFT區塊鏈WEBWEB3.0CITIES Vault (NFTX)區塊鏈的未來發展前景與應用Wombat Web 3 Gaming PlatformWEB3.0幣

BNB
Bankless:Otherside 等五大值得關注的 NFT 元宇宙世界_VERSE

“想象一下《星球大戰》或《權力的游戲》,如果該項目不是由迪斯尼或HBO擁有,而是由建設者、創造者和參與者組成的社區直接指導、開發和擁有,會是一種什么樣的光景.

1900/1/1 0:00:00
李嘉誠連投3輪、軟銀匆忙入局 最成功的數字人創企竟是它?_CHIN

“數字人,數智人。” 幾乎每個人的智能手機都配備了語音AI助手。你可能和ta定過鬧鐘、查過資料、甚至玩成語接龍或者斗過嘴.

1900/1/1 0:00:00
萬字長文探討元宇宙的夢想與現實_ETA

人類的感官究竟在多大程度上能夠被替代或欺騙?全面數字化究竟是不是人類前進的方向?如果生活中的一切皆可以被數字化,那么生活本身的意義又在哪里?「元宇宙」一詞最初出現在科幻小說中.

1900/1/1 0:00:00
復盤NEAR彩虹橋攻擊始末 黑客攻擊未成反遭損失_BTC

這次攻擊其實是自動停止的,橋接資金沒有受到任何損失,反倒是攻擊者損失了一些錢。5月1日晚間,Near彩虹橋因為異常活動暫停使用,官方已啟動調查,Near生態EVM鏈AuroraLabs首席執行A.

1900/1/1 0:00:00
法拉利官網子域被黑客劫持發布欺詐NFT騙局_OLA

金色財經報道,據bleepingcomputer消息,據白客和漏洞賞金獵人SamCurry在社交媒體上透露.

1900/1/1 0:00:00
關于代幣經濟學 這里有一份詳細的研究清單_比特幣

為了方便我自己學習和參考有關代幣經濟學的知識和內容,我努力收集了來自各方的信息、并促成了這篇文章,它涵蓋了各種關于代幣經濟學的例子,方便大家對代幣有更好的理解.

1900/1/1 0:00:00
ads