瘋狂“出圈”和刷屏之后 Web3.0熱潮下的NFT安全如何保證？_NFT

最近一段時間，Web3.0不斷“刷屏”，NFT瘋狂“出圈”，有人擼空投，有人搞收藏，有人說，NFT的爆炸性增長正在推動Web3.0的發展。

Web1.0到Web2.0實現了內容的消費者向內容生產者的轉變，其本質是進行了一次從物理世界向網絡世界的平行時空的大遷徙，當我們暢談Web3.0的發展時，不得不進一步提到關于區塊鏈，因為區塊鏈的去中心化、去信任和防篡改的特性很好的對標了Web3.0的目標——創造新一代互聯網，讓每個用戶掌握自己的數據、身份和命運。

Web3.0基于區塊鏈而存在，承諾將隱私和數字身份還給用戶，同時由于NFT等的應用，實現了新的互動水平。但我們更需要的是Web3.0熱潮下NFT的諸多“危險”與“隱患”，最近NFT領域隨處可見的“黑客事件”也證明了我們需要將“安全”放在第一位。

谷歌瘋狂游說歐盟政界人士，希望修改《數字市場法案》:1月11日消息，據報道，谷歌正面向歐盟政界人士和官員瘋狂地發布廣告、電子郵件和有針對性的社交媒體內容，為修改歐盟針對大型科技公司的新法規做最后的努力。歐盟新法規《數字市場法案》的生效日期日益臨近，對于一些可能會產生嚴重商業影響的條款，之前可能還沒有引起谷歌高管們的足夠重視。

如今，谷歌正加強這方面的工作。一位谷歌內部人士日前表示：“公司的高層管理人員一直都知道《數字市場法案》，但他們現在才意識到其嚴重性。”[2022/1/11 8:41:36]

近期發生了哪些NFT合約安全事件？

4月21日，NBA的NFT項目合約遭受攻擊，攻擊者利用了簽名未驗證，在合約代碼中，vDatamemory參數info在傳入函數中未進行驗證導致簽名可復用，攻擊者可以通過使用其他人的簽名來進行Mint，導致項目方被瘋狂“薅羊毛”。

聲音 | TradingView總經理：加密貨幣已度過了瘋狂交易階段:金色財經報道，TradingView總經理Pierce Crosby表示，2017-2018年的市場高度波動是Pet.com的“代表”，他將該階段稱為“瘋狂的交易狂熱”。根據Crosby的說法，這種狂熱可能是山寨幣的“復興”。仍處于萌芽階段的加密貨幣被吹捧為一場革命和游戲規則的改變者。Crosby還談到過去幾年加密交易領域的成熟，例如Coinbase等知名平臺提供多樣化投資組合。據悉，在線寵物店Pets.com是最廣為人知的互聯網泡沫之一。在2000年通過IPO籌集了8200萬美元后不久，該公司就資金告罄，成為最引人注目的失敗案例之一。[2019/12/24]

聲音 | 中國信息研究院區塊鏈主管：ICO融資太瘋狂不規范 行業充滿了投機欲望:根據新華網報道，中國信息通信研究院高級工程師、區塊鏈主管卿蘇德博士向記者爆料：“瘋狂時，ICO一周內就可完成集資，而正規集資要經過種子輪、天使輪、Pre-A、A、B……等規范嚴格的多輪融資才能獲得。”同時表示：“2017年底的發幣狂潮就是與現實結合的幻想，喚醒了很多人投機的欲望，利潤越大人越會失去理性，很多投資的人根本不知道比特幣、區塊鏈是什么，也不知道自己買的項目是做什么的。”[2018/8/21]

而在4月23日，NFT項目Akutar驚現低級漏洞，它的AkuAuction合約由于智能合約本身漏洞，導致11539ETH被鎖死在合約中。經成都鏈安技術團隊分析，發現Akutar項目的智能合約包含2個漏洞：

創業工場創始人麥剛：區塊鏈是人類最偉大的投資機會，也是最瘋狂的投機泡沫:金色財經現場報道，在2018飛鳥·中國區塊鏈技術與應用高峰論壇上，創業工場創始人麥剛提出：區塊鏈技術不僅僅是一次技術革命，更引發了兩次金融革命：比特幣（數字貨幣）和ICO（代幣發行）。區塊鏈技術已經產生比特幣和以太坊兩個成功的應用，將來會出現更多成功的應用，但ICO項目可能有很多包裝手段和可操控環節，應該非常小心。他還表示，不希望行業因為無規則、無監管導致暴漲或暴跌，期待未來的區塊鏈項目擁有核心競爭力和長期價值。[2018/3/29]

第一個合約漏洞在processRefunds中，設計者根據refundProgress計數器進行循環退款，而如果有攻擊者此時在fallback中進行revert則會導致后面的人都無法進行退款，這個漏洞被人在鏈上證明但沒有進行攻擊利用。

比特幣瘋狂上漲的幕后推手是日本人:據外媒報道，德銀證券全球金融策略師Masao Muraki在周四發表的研報中表示，最近比特幣瘋狂大漲的主導力量可能是日本人。“我們認為，零售投資者已從杠桿外匯交易轉戰杠桿加密貨幣交易。報告顯示，那些從事杠桿外匯交易的30多歲和40多歲的日本男性(或者以前從事這一行業但已收手的人。[2017/12/15]

第二個漏洞在claimProjectFunds中，require語句的totalBids變量應該是bidIndex，這個漏洞使得該判斷條件永遠失敗，導致無法執行后續的提款操作。最終，導致項目方11539ETH(價值約3400萬美元)被鎖定無法提取。

可見關注NFT合約風險，變得越來越緊迫。

NFT合約問題包括哪些？

根據NFTSCAN數據顯示，目前全球NFT項目已接近七萬個，而且數據還在持續增長中。

數據來源：NFTSCAN

NFT作為Web3.0的底座，它的安全問題對行業發展同樣重要，為了護航Web3.0的安全生態，成都鏈安通過智能合約形式化驗證工具鏈必驗對上千個NFT項目進行漏洞掃描，發現NFT常見的合約問題還包括以下幾類：

業務邏輯相關問題：

此類問題可能直接導致合約的業務邏輯出錯。

漏洞描述：chapterAuctionMinted的值永遠為初始值，但是在此處使用的判斷條件中，使用了該值進行條件檢查。如果在開發期間使用掃描后，開發者可根據掃描結果判斷是否是相關邏輯缺失，亦或是冗余代碼。

漏洞描述：未檢測返回值。在NFT項目中，經常存在有償鑄幣的功能，調用者需要將作為鑄幣手續費的ERC20代幣發送到NFT鑄幣合約中，然后NFT鑄幣合約為其鑄造對應數量的NFT代幣。但是部分ERC20合約存在假充值的問題，即轉賬失敗不拋出異常而是返回false，這樣就會導致一個問題，攻擊者可以利用這點，在未支付手續費的情況下，鑄造任意數量的NFT。開發者應根據VaaS掃描結果的建議，檢查transferFrom操作的返回值或者使用safeTransferFrom函數進行ERC20代幣轉賬。

代碼規范相關問題

此類問題可能不會直接造成業務邏輯出錯，但是會影響代碼的可讀性，造成合約調用時有多余的gas消耗等。同時不規范的代碼也容易導致編寫時邏輯混亂，有隱藏的邏輯錯誤的概率更高。

漏洞描述：此處循環的結束條件為curr>=0,而curr為uint導致curr>=0恒滿足。此處會導致循環無法正常結束。在掃描中會對這類結果為定值的條件進行告警，用戶可以通過提示確認此處邏輯，對條件進行刪除或修改。

漏洞描述：此處event中將string類型的數據標記了indexed，該寫法會導致在事件結果中無法直接獲得對應的string結果。建議用戶參考的提示，僅使用indexed修飾固定長度的變量。

研究發現，大多數的NFT合約都沒有進行過專業的安全審計，這就存在很大的安全隱患，容易導致攻擊事件的發生，造成資產的損失。所以NFT智能合約開發者應具備基本的安全開發意識，了解智能合約開發應注意的安全問題；此外，在合約設計和實現時，注意代碼實現的正確性。我們建議開發完成后，可使用對項目進行安全檢測。項目上線前，可選擇安全審計，規避安全風險。

安全，是區塊鏈技術能夠得以長足發展的重要保證，守護Web3.0的安全也變得愈發重要。今天我們所講的業務邏輯相關問題和代碼規范性相關問題，也是智能合約里面常見的問題類型?，后續我們將繼續推出NFT相關安全文章，請大家持續關注我們

Tags：NFT區塊鏈WEBWEB3.0CITIES Vault (NFTX)區塊鏈的未來發展前景與應用Wombat Web 3 Gaming PlatformWEB3.0幣

BNB