NFT項目審計概覽
NFT是英語“NonFungibleToken”的簡稱,翻譯過來即非同質化通證。一個NFT可以被理解為是存儲在區塊鏈上的一個獨一無二的單元數據。每當談及NFT通證,我們會很自然地將其與常見的ERC-20通證進行類比。但NFT通證與ERC-20通證是有區別的,兩者的區別在于任何兩個NFT通證都互不相同,不可互換,即不同質。因此,與NFT相關的操作與ERC-20通證及其它類同質數字資產的操作相比有著明顯的區別。
近年來,以NFT為核心成長出了一個全新的生態,這個生態在2021年發展尤為迅猛。但是在生態快速發展的同時,生態中的安全問題卻頻繁顯現。當業界審視這些安全問題時往往將其與ERC-20通證生態中的安全問題進行類比,但是NFT領域中出現的安全問題卻有自己的特點和差異。然而這些特點和差異卻還沒有系統地受到業界的關注和研究。
關于NFT生態中的安全問題在學術界已經有學者進行了大膽地探索和研究,比如D.Das、P.Bose、N.Ruaro、C.Kruegel和G.Vigna合著的論文。然而在實踐和具體執行過程中,對NFT安全問題該采用什么方式檢視,什么流程審查,什么措施進行防范以及從哪些角度進行防范則缺乏深入的探討和研究。
Fairyproof研究團隊根據自身積累的專業知識和審計NFT項目中積累的實踐經驗,總結了一套系統、全面的方案,在此欲與業界和關注此領域發展的同仁進行探討和交流。
如果一個項目、應用或服務和NFT交互,則我們視其為NFT項目、NFT應用或NFT服務。如果一個應用或服務和NFT交互,我們則視這個應用或服務是整個NFT生態中的一員。所有這些應用和服務一起就組成了現在我們見到的NFT生態系統。
在這個生態系統中,根據其中每個成員在技術上扮演的角色,我們將其分為四類:NFT通證部署的區塊鏈、NFT通證的實現合約、實現商業邏輯及流程的核心應用、輔助NFT工作的應用或服務。
鏈城湯泉:安全可信的數字藏品平臺需要具備三大特質:3月30日消息,鏈城數字科技有限公司咨詢總監湯泉在中國信證聯盟數字藏品高峰論壇上表示,安全可信的數字藏品平臺需要具備鏈上成員清晰明確、鏈上數據不可滅失、鏈上行為見證背書幾大特質。信證鏈作為全國首個也是規模最大的取證、存證和固證運營平臺,鏈接了全國范圍內30余個省市公信機構,旨在打造可信數字社會的基礎設施和可信數據使用接口。
基于信證鏈的數字藏品平臺,具有公開透明、價值流通、權威可信的特征,平臺覆蓋數字藏品發行、轉讓贈送、社區交流等應用場景,支持多種交易類型,為平臺創作者、收藏愛好者、博物館、運營者等提供有情懷、可持續的價值流通平臺。[2022/3/30 14:27:50]
對于NFT項目的審計,這四類成員都需要關注和審視。如果NFT部署的區塊鏈不能正常工作,項目就失去了根本;如果NFT通證的實現合約有問題,那NFT就無法正常工作,項目就失去了內核;如果項目的商業邏輯和流程設計有問題,那項目就只剩下毫無生命力的NFT通證;如果輔助NFT工作的應用或服務不能正常工作或者項目沒有選擇合適的輔助應用或服務,則NFT就無法將其潛力充分發揮。
因此這四者的安全和審計缺一不可,都不能忽視。在本文接下來的篇章,我們將對這四者的安全及審計分別展開論述。
對區塊鏈的審計
對于NFT項目所部署的區塊鏈,如果它是一條比較成熟的區塊鏈,則通常情況下,無需再對其進行審計,這一步可以跳過。因為成熟的區塊鏈已經在經年累月的發展和成長中,歷經各種安全事故的挑戰和磨練,在安全上已經有了較為可靠的保障和信用。如果其部署的區塊鏈是新生的,則理論上對區塊鏈的審計是不能忽略的。
江蘇:2023年形成3-4個自主安全可控的區塊鏈底層平臺:1月5日消息,江蘇省工信廳、發改委、網信辦等八部門于 1 月 4 日聯合發布《江蘇省數字經濟加速行動實施方案》。在區塊鏈方面,《方案》指出將積極部署支撐有力的創新基礎設施,加快構建區塊鏈平臺體系,建設一批自主安全可控的區塊鏈底層平臺、行業聯盟鏈、基于區塊鏈技術的公共服務平臺,推進區塊鏈 BaaS 平臺部署。到 2023 年,形成 3-4 個自主安全可控的區塊鏈底層平臺,在區塊鏈等領域實施一批關鍵技術攻關項目。大力發展區塊鏈等新興產業,到 2023 年,全省大數據、區塊鏈核心業務收入年均增速達到 15% 以上,實施江蘇省區塊鏈應用推廣行動計劃,形成區塊鏈典型應用示范案例不少于 100 個。[2022/1/5 8:26:23]
對區塊鏈的審計在業界已經相對成熟。此類審計的方式、方法、流程及重點和難點已經是包括Fairyproof在內的區塊鏈安全公司比較熟練的業務和領域。對業界和安全公司來說,這類審計并不陌生。
對NFT實現合約的審計
NFT通證的實現,從技術上來講和常見的ERC-20通證類似,都是由一個或多個智能合約組成。但是,由于NFT實現所基于的通證標準和ERC-20同質通證不同,因此NFT通證中可能出現的問題也與ERC-20通證略有不同。這其中一個典型的問題就是NFT的發行功能在實現時是否使用了合適的隨機數。如果使用的隨機數不合適,則NFT在發行時可能遭遇“回滾”攻擊,即用戶可以通過不斷回滾交易,直到獲取自己偏好的NFT。因此對NFT實現合約的審計也和對ERC-20合約的審計略有不同,其主要表現在關注點、重點和難點有所不同。
對此,Fairyproof在實踐中系統地總結了經驗,并開發一套自動化的審計工具,能夠快速定位NFT合約中的風險點,排除潛在風險。
現場丨張新明:技術的安全可以降低應用層面的信任成本:金色財經現場報道,10月27日,第六屆區塊鏈全球峰會于上海開幕,峰會上中國電子技術標準化研究院黨委副書記張新明演講表示,區塊鏈是一個通過分布式記賬推動所有技術融合的一個技術,區塊鏈的標準定義是使用密碼技術將共識確認的區塊按照順序追加形成的分布式賬本。從技術視角看,區塊鏈可以通過防篡改保障數據安全,技術的安全可以降低應用層面的信任成本,從而帶來產業的大規模協作,這將會加速數字經濟快速發展。在監管方面,敏感信息上鏈對現有監管框架提出了新要求,區塊鏈領域的智能合約漏洞和算力集中的新安全問題對安全監管提出挑戰,此外,還有兩個挑戰分別是區塊鏈發展沒有完善的商業模式閉環,技術方面需要加強對底層技術的攻關。[2020/10/27]
對核心商業邏輯應用的審計
這里我們所指的核心商業邏輯應用主要是指在一個NFT項目中,實現商業邏輯的部分。這部分應用會和各類NFT通證交互。
在一個NFT項目中實現商業邏輯的應用通常可分為兩類:
一類是典型的互聯網2.0應用。它在項目中和NFT的交互及實現的商業邏輯比較簡單,通常只涉及一些簡單的NFT操作,比如NFT的發行、NFT的轉賬等。近年極為流行的“PFP”項目就屬于這類。
另一類是包含了互聯網2.0應用和區塊鏈智能合約的綜合應用。這類綜合應用包含的NFT操作要復雜得多,除了簡單的NFT發行和轉賬,還有NFT通證的管理、NFT通證的抵押等。現在NFT生態中最大的應用比如交易平臺就是這類。
盡管這兩類應用在復雜程度上有區別,但它們和基于ERC-20通證的應用相比都展現出一些特有的共性,這些共性也是NFT應用的共性。
這些共性主要表現在:首先NFT應用涉及的鏈上操作不如ERC-20通證應用涉及的鏈上操作復雜;其次很多NFT應用面向的用戶是非技術類人士,這些用戶有些甚至沒有區塊鏈方面的知識,也不了解基于區塊鏈的數字貨幣。
聲音 | 西南財大段江:四川可以利用優質資源推動區塊鏈技術安全可信地實現資產數字化:據四川日報消息,10月31日,西南財經大學中國區塊鏈研究中心主任、教授,西南財經大學中國區塊鏈研究中心研究員段江發表文章《推動四川區塊鏈技術和產業創新發展的思考》。文章指出,四川幅員遼闊,人口眾多,經濟總量居于全國前列,為區塊鏈產業發展儲備了充足的市場空間。天府新區設立、天府國際機場建設、蓉歐快鐵開通,一系列看似離散分割的優質資源,都可以利用區塊鏈技術安全可信地實現資產數字化,從而更高效地實現整合和配置,為四川發展貢獻合力。四川應用區塊鏈技術推進高質量發展,加快布局區塊鏈產業新的增長極正好能為全省“多點多極”快速發展提供有力支撐。電子信息產業發展良好,特別是信息安全產業基礎雄厚,為區塊鏈技術儲備了技術、人才。[2019/10/31]
因此為了讓大量非專業領域的用戶在無需具備區塊鏈或數字貨幣知識的情況下毫無障礙地使用和參與NFT項目,很多開發團隊會花費大量的精力和資源來設計和優化用戶界面,使之更符合用戶已經在互聯網2.0應用中建立起來的習慣。這便自然而然地使一些項目在設計和開發的過程中大量沿襲使用互聯網2.0應用的技術和流程。一方面,這降低了用戶的使用門檻,更便于新用戶進入NFT領域;但另一方面,這也使得這些NFT應用有過于中心化的傾向。這種過于中心化的傾向不僅存在于應用的技術實現上,也存在于商業邏輯和流程中。
這里我們想特別強調的是:在現有NFT應用中涉及到商業邏輯和流程的部分可能會存在什么問題、是否有某些未知的隱患等還沒有引起業界尤其是安全領域從業者的足夠關注和研究。比如在目前諸多流行的NFT交易平臺中,KYC還并未被強制要求,更談不上堅決執行,在這種情況下如何防范安全事故及對黑客身份的追蹤、定位;再如對NFT項目“真偽”的驗證在大多數交易平臺上還只是可選項而非必須執行項,在這種情況下如何防止用戶誤入假冒項目;還有對于NFT原創團隊在設定及收取交易分紅方面目前各類平臺所采用的流程和方式是否存在安全上的漏洞和隱患以及是否存在欺詐和不公?......
聲音 | 央行科技司司長:金融科技必須走安全可控、正本清源之路:央行科技司司長李偉表示:“部分機構打著金融科技的幌子,走非法集資、龐氏騙局等歪門邪路,借金融科技之名行坑蒙拐騙之實,嚴重侵害人民群眾的利益,是堅決不允許的。”他強調,金融科技必須要守住不發生系統性金融風險的底線,走安全可控、正本清源之路。[2018/7/7]
對上述問題的展開和研究目前都鮮有看到業界提及,更遑論進行深入的探討。
對此Fairyproof一直在進行跟蹤研究和探索,并在這些方面積累和總結了經驗,并研發了一套綜合性的框架和系統,能給NFT領域的從業者提出建設性的意見及切實可行的方案。
對輔助服務或應用的審計
這里所提到的輔助服務或應用是指有助于NFT充分發揮其功能或特色的服務或應用。典型的如為NFT存儲元數據的服務或應用.?
興起于2021年的PFP項目就利用了輔助服務或應用。這類典型的NFT項目往往是發行一定恒定數量的NFT,每個NFT都有一個獨一無二的圖片,每個圖片包含各種特征的組合。對每個NFT來說,這個圖片就是它的元數據。
這些圖片往往為了吸引用戶買入和持有都經過精心的設計而獨具特色,因此圖片的保存和顯示對這類NFT項目來說就顯得非常重要。很多項目在設計時都考慮了使用各種方案使圖片能夠盡量永久保存。因此什么樣的服務或應用能夠提供可靠、穩妥的永久存儲就是這些項目方關注的重點。
目前在業界常見的存儲方案主要有去中心化的存儲應用和中心化的存儲應用。前者典型的有IPFS、Arweave等。后者主要有亞馬遜云等。
但是這些存儲方案并非每個都能現成地提供永久存儲,有些可以提供永久存儲但費用較高,有些只能提供按時收費的臨時存儲,各有優缺點。因此如何綜合考慮使用一種或多種方案進行組合,構建一套能夠永久存儲的服務就是項目開發者必須考慮的問題。
但是當項目方考慮使用這些方案時,這些方案本身可能存在什么問題?在組合使用這些方案時可能存在哪些安全上的隱患或者潛在風險?如何規避和防范這些隱患或潛在風險?有關這些問題的討論和研究至今所見相當有限。
Fairyproof自成立伊始便開始關注這個領域的研究和探索,尤其是在安全實踐中可能會存在什么難點和重點等。我們基于自身的積累和實踐,探索、研發了一套系統的方案用來評價和審查NFT輔助服務或應用,并研發、部署了一套全面的流程和系統以檢視這些輔助服務或應用在各類實踐方案中可能存在的安全隱患及潛在風險。
對NFT項目的審計不單單是對NFT智能合約的審計,它是一個系統工程、是一套綜合流程,需要從生態的角度全面審視NFT本身、其核心業務邏輯及所涉及的周邊應用、基礎設施和輔助服務。
Fairyproof一直并將持續、密切地關注NFT生態的發展,持之以恒地深入研究這個領域的安全問題,在已經建立的成熟框架上繼續擴展和探索領域內最新的發展,并繼續和同業分享我們對前沿問題的思考和前瞻判斷。
參考文獻:
Non-fungibletoken,https://en.wikipedia.org/wiki/Non-fungible_token,Feb22,2022
ERC-20TokenStandard,https://ethereum.org/en/developers/docs/standards/tokens/erc-20/
UnderstandingSecurityIssuesintheNFTEcosystem,https://arxiv.org/abs/2111.08893,Jan19,2022
ERC-721Non-fungibleTokenStandard,
https://ethereum.org/en/developers/docs/standards/tokens/erc-721/
EIP-1155:MultiTokenStandard,https://eips.ethereum.org/EIPS/eip-1155?
ABeginner’sGuidetoUnderstandingPFPNFTs,
https://medium.com/geekculture/a-beginners-guide-to-understanding-pfp-nfts-8714e9d30d0b,August29,2021
CryptoPunks,https://www.larvalabs.com/cryptopunks
BAYC,https://boredapeyachtclub.com/#/
OpenSea,https://opensea.io/
Rarible,https://rarible.com/
Curve,https://curve.fi/
MakerDAO,https://makerdao.com/
NiftyGateway,https://niftygateway.com/
metadata,https://csrc.nist.gov/glossary/term/metadata
IPFS,https://ipfs.io/
Arweave,https://www.arweave.org/
AWS,https://aws.amazon.com/
Abouttheauthor:
YuefeiTAN,CEOofFairyproof
AboutFairyproof:
FairyproofTechisablockchainsecuritycompany,establishedinJan2021.
Itwasfoundedbyateamwithrichexperienceinsmartcontractprogrammingandnetworksecurity.TheteammembersparticipatedininitiatinganumberofdraftstandardsintheEthereumfield,includingERC-1646,ERC-2569,ERC-2794,andEIP-3712,ofwhichERC-2569wasofficiallyacceptedbytheEthereumteam.
TheteamparticipatedinthelaunchanddevelopmentofvariousEthereumprojects,includingblockchainplatforms,DAOorganizations,on-chaindatastorage,decentralizedexchanges,andconductedsecurityauditsofmultipleprojectswhichhavebeendeployedonEthereum.BasedonitsstrongR&Dcapabilityanddeepunderstandingofsmartcontractsecurity,Fairyproofhasdevelopedcomprehensivevulnerabilitytrackingandsecuritysystemsandtools.
FairyproofTechservesandworkscloselywithcustomersbyprovidingsystematicsolutionscoveringboth“codevulnerabilities”and“logicvulnerabilities”andaimstoprovidecustomerswiththebestandmostprofessionalservices.
另外,現在SWIFT的介紹很多,CF40的八分鐘視頻說得很清楚,我也不會講的比這更多、更深。其中,最重要的是這張圖: 1.SWIFT制裁就像微信封號支付=資金流+信息流.
1900/1/1 0:00:002021年是元數據元年,這是一個具有全球影響和深入討論的概念。?一想到一個"meta-universe"感覺很遠,但也很近,超現實,真實.
1900/1/1 0:00:00▌俄烏危機持續發酵,全球經濟再次陷入動蕩 自2020年全球新冠大爆發,導致供應鏈崩潰和通貨膨脹的雙重打擊后,全球經濟又將因為俄烏沖突的持續發酵,而陷入另一條不可預測的道路.
1900/1/1 0:00:00中國央行金融穩定局3日發文稱,中共十九大以來防范化解金融風險取得重要成果,其中包括全面清理整頓金融秩序.
1900/1/1 0:00:00銀行遇上元宇宙,能否擦出火花去年以來,資本市場上元宇宙概念火了。熱潮之下,不少金融機構躍躍欲試,百信銀行就趕在去年12月30日推出了首位虛擬數字員工艾雅.
1900/1/1 0:00:00前言 PlaytoEarn,簡稱P2E,又可稱為“打金“,是一種邊玩邊賺的理念。憑借其上手快、門檻較低且易傳播的特點,搭上Gamefi的快車,迅速走入人們的視野.
1900/1/1 0:00:00