買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 比特幣 > Info

區塊鏈:瘋狂“出圈”和刷屏之后 Web3.0熱潮下的NFT安全如何保證?_WEB3ALLBI價格

Author:

Time:1900/1/1 0:00:00

最近一段時間,Web3.0不斷“刷屏”,NFT瘋狂“出圈”,有人擼空投,有人搞收藏,有人說,NFT的爆炸性增長正在推動Web3.0的發展。

Web1.0到Web2.0實現了內容的消費者向內容生產者的轉變,其本質是進行了一次從物理世界向網絡世界的平行時空的大遷徙,當我們暢談Web3.0的發展時,不得不進一步提到關于區塊鏈,因為區塊鏈的去中心化、去信任和防篡改的特性很好的對標了Web3.0的目標——創造新一代互聯網,讓每個用戶掌握自己的數據、身份和命運。

Web3.0基于區塊鏈而存在,承諾將隱私和數字身份還給用戶,同時由于NFT等的應用,實現了新的互動水平。但我們更需要的是Web3.0熱潮下NFT的諸多“危險”與“隱患”,最近NFT領域隨處可見的“黑客事件”也證明了我們需要將“安全”放在第一位。

1kx創始合伙人:1kx自去年第三季度以來一直以瘋狂的速度進行部署:金色財經報道,投資公司 1kx 創始合伙人 Lasse Clausen 稱,在 2021 年和 2022 年初的牛市狂熱期間處于觀望狀態后,1kx 自去年第三季度以來一直以“瘋狂”的速度進行部署。Clausen表示,我們真的很喜歡熊市,我們知道現在是非常好的投資時機。1kx的政策是持有其加密貨幣投資至少三年,鑒于該行業的快速發展,Clausen認為這是一個很好的準則。[2023/2/22 12:22:49]

近期發生了哪些NFT合約安全事件?

4月21日,NBA的NFT項目合約遭受攻擊,攻擊者利用了簽名未驗證,在合約代碼中,vDatamemory參數info在傳入函數中未進行驗證導致簽名可復用,攻擊者可以通過使用其他人的簽名來進行Mint,導致項目方被瘋狂“薅羊毛”。

聲音 | V神:在沒有考慮大型反DoS安全因素的情況下 任何人建立公鏈都是瘋狂的:V神在推特中稱,在沒有考慮大型反DoS安全因素的情況下,任何人建立公鏈都是瘋狂的。 推特用戶John Galt@Brainvelli回應稱,收取gas費并不是真正的反DoS。你不能向普通用戶收取gas費,他們不明白什么是gas。[2019/8/22]

而在4月23日,NFT項目Akutar驚現低級漏洞,它的AkuAuction合約由于智能合約本身漏洞,導致11539ETH被鎖死在合約中。經成都鏈安技術團隊分析,發現Akutar項目的智能合約包含2個漏洞:

聲音 | 福布斯:經歷了2017年的瘋狂和2018年的熊市之后 區塊鏈重新回到發展軌道:據福布斯分析,2019年是區塊鏈生態系統和整個加密行業必須清醒的一年。經歷了2017年的瘋狂和2018年的熊市之后,區塊鏈空間重新回到了新的發展軌道。沒有更多的 ICO 來分散加密生態系統的注意力,并且建筑心態又重新開始。這種后ICO和無用后PR合作伙伴關系時代促使區塊鏈社區不再關注比特幣的當前價格,而更注重產生有意義的服務和進步。像Facebook Libra這樣的知名企業的大項目現在占據了所有媒體空間,這對企業區塊鏈空間也是積極的。[2019/8/19]

第一個合約漏洞在processRefunds中,設計者根據refundProgress計數器進行循環退款,而如果有攻擊者此時在fallback中進行revert則會導致后面的人都無法進行退款,這個漏洞被人在鏈上證明但沒有進行攻擊利用。

聲音 | 在日華媒:日本數字貨幣投資正在淪為瘋狂賭博:《日本新華僑報》刊文稱,國際清算銀行(BIS)的調查顯示,投資數字貨幣的日本人已經超過350萬。該報評論認為,被稱為“數字貨幣大國”的日本,其實正在不斷累積著各種風險。日本投資者中,大部分是30歲至40歲的男性,他們不僅缺乏金融知識,不少人甚至還通過借錢來投資。[2018/9/13]

第二個漏洞在claimProjectFunds中,require語句的totalBids變量應該是bidIndex,這個漏洞使得該判斷條件永遠失敗,導致無法執行后續的提款操作。最終,導致項目方11539ETH(價值約3400萬美元)被鎖定無法提取。

日本交易平臺首席執行官認為 投資理念保守的日本人在比特幣投資方面尤為瘋狂:據紐約時報,全球規模最大的比特幣交易平臺bitFlyer首席執行官狩野雄三(Yuzo Kano)不久前表示,日本人的投資理念一貫保守,但一旦被觸動,他們就會全數押注,比特幣投資方面尤為如此。[2017/12/11]

可見關注NFT合約風險,變得越來越緊迫。

NFT合約問題包括哪些?

根據NFTSCAN數據顯示,目前全球NFT項目已接近七萬個,而且數據還在持續增長中。

數據來源:NFTSCAN

NFT作為Web3.0的底座,它的安全問題對行業發展同樣重要,為了護航Web3.0的安全生態,成都鏈安通過智能合約形式化驗證工具鏈必驗對上千個NFT項目進行漏洞掃描,發現NFT常見的合約問題還包括以下幾類:

業務邏輯相關問題:

此類問題可能直接導致合約的業務邏輯出錯。

漏洞描述:chapterAuctionMinted的值永遠為初始值,但是在此處使用的判斷條件中,使用了該值進行條件檢查。如果在開發期間使用掃描后,開發者可根據掃描結果判斷是否是相關邏輯缺失,亦或是冗余代碼。

漏洞描述:未檢測返回值。在NFT項目中,經常存在有償鑄幣的功能,調用者需要將作為鑄幣手續費的ERC20代幣發送到NFT鑄幣合約中,然后NFT鑄幣合約為其鑄造對應數量的NFT代幣。但是部分ERC20合約存在假充值的問題,即轉賬失敗不拋出異常而是返回false,這樣就會導致一個問題,攻擊者可以利用這點,在未支付手續費的情況下,鑄造任意數量的NFT。開發者應根據VaaS掃描結果的建議,檢查transferFrom操作的返回值或者使用safeTransferFrom函數進行ERC20代幣轉賬。

代碼規范相關問題

此類問題可能不會直接造成業務邏輯出錯,但是會影響代碼的可讀性,造成合約調用時有多余的gas消耗等。同時不規范的代碼也容易導致編寫時邏輯混亂,有隱藏的邏輯錯誤的概率更高。

漏洞描述:此處循環的結束條件為curr>=0,而curr為uint導致curr>=0恒滿足。此處會導致循環無法正常結束。在掃描中會對這類結果為定值的條件進行告警,用戶可以通過提示確認此處邏輯,對條件進行刪除或修改。

漏洞描述:此處event中將string類型的數據標記了indexed,該寫法會導致在事件結果中無法直接獲得對應的string結果。建議用戶參考的提示,僅使用indexed修飾固定長度的變量。

研究發現,大多數的NFT合約都沒有進行過專業的安全審計,這就存在很大的安全隱患,容易導致攻擊事件的發生,造成資產的損失。所以NFT智能合約開發者應具備基本的安全開發意識,了解智能合約開發應注意的安全問題;此外,在合約設計和實現時,注意代碼實現的正確性。我們建議開發完成后,可使用對項目進行安全檢測。項目上線前,可選擇安全審計,規避安全風險。

安全,是區塊鏈技術能夠得以長足發展的重要保證,守護Web3.0的安全也變得愈發重要。今天我們所講的業務邏輯相關問題和代碼規范性相關問題,也是智能合約里面常見的問題類型?,后續我們將繼續推出NFT相關安全文章,請大家持續關注我們

Tags:NFTWEB區塊鏈WEB3.0BGAN Vault (NFTX)WEB3ALLBI價格區塊鏈的未來發展前景視頻WEB3.0幣

比特幣
EVMOS:Evmos正式上線 背后蘊含哪些潛力?_MOS

2021年12月,Evmos宣布將在主網上線時對以太坊和Cosmos生態活躍用戶,以及在CosmosHub上參與過治理,或在Osmosis上參與過部分流動性挖礦的發放空投獎勵.

1900/1/1 0:00:00
TOK:中國李寧×Bored Ape 你#無聊不無聊#_元宇宙平臺公司介紹

“一切皆有可能” 這是國貨之光,國潮品牌李寧的一直以來的Slogan,而李寧是“體操王子”李寧在1990年創立的專業體育品牌.

1900/1/1 0:00:00
TOKE:使用真實示例教你分析 P2E 游戲的 5 個指標_KEN

Apr.2022,VincyDataSource:FootprintAnalytics-DeFiKingdomsDashboard隨著今年年初DeFi市場的下滑.

1900/1/1 0:00:00
FIL:金色觀察 | 為什么美聯儲宣布加息后不久比特幣價格上漲_FOMOETH

美國聯邦公開市場委員會當地時間周三公布最新利率決議,將基準利率上調50個基點至0.75%-1.00%區間,為2000年5月以來最大幅度加息,符合市場預期.

1900/1/1 0:00:00
NOM:三個熱門 Trustless 跨鏈橋實戰 PK 孰優孰劣?_nomad幣是不是歸零

本文將主要從資產跨鏈橋的安全性出發,根據誰在驗證系統進行分類,并選取三個近期熱度較高的Trustless跨鏈橋,分別從各自的運行原理、團隊、投融資以及費用等,總結出優缺點.

1900/1/1 0:00:00
ETH:1confirmation合伙人:加密VC投資中三個反直覺的經驗教訓_DEFI

在我第一篇文章中,我將寫下在過去幾年中我作為加密貨幣風險投資人學到的三個反直覺教訓。未來我將在文章中涉及更多的熱點話題,比如.

1900/1/1 0:00:00
ads