比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > UNI > Info

瘋狂“出圈”和刷屏之后 Web3.0熱潮下的NFT安全如何保證?_WEB3.0

Author:

Time:1900/1/1 0:00:00

最近一段時間,Web3.0不斷“刷屏”,NFT瘋狂“出圈”,有人擼空投,有人搞收藏,有人說,NFT的爆炸性增長正在推動Web 3.0的發展。

Web1.0 到 Web2.0 實現了內容的消費者向內容生產者的轉變,其本質是進行了一次從物理世界向網絡世界的平行時空的大遷徙,當我們暢談 Web3.0 的發展時,不得不進一步提到關于區塊鏈,因為區塊鏈的去中心化、去信任和防篡改的特性很好的對標了 Web3.0 的目標——創造新一代互聯網,讓每個用戶掌握自己的數據、身份和命運。

Web3.0基于區塊鏈而存在,承諾將隱私和數字身份還給用戶,同時由于NFT等的應用,實現了新的互動水平。但我們更需要的是Web3.0熱潮下NFT的諸多“危險”與“隱患”,最近NFT領域隨處可見的“黑客事件”也證明了我們需要將“安全”放在第一位。

聲音 | John McAfee:將黃金與比特幣進行比較是瘋狂的:殺軟件之父、加密貨幣支持者John McAfee發推稱:黃金和比特幣的區別?黃金是一種商品,它占有空間,具有質量、溫度和形狀。比特幣是一種理念,通過一系列數字來體現,沒有真實的位置或實體——這是一個具有無限流動性的聰明概念。將他們進行比較是瘋狂的。[2019/5/29]

4月21日,NBA的NFT項目合約遭受攻擊,攻擊者利用了簽名未驗證,在合約代碼中,vData memory參數info在傳入函數中未進行驗證導致簽名可復用,攻擊者可以通過使用其他人的簽名來進行Mint,導致項目方被瘋狂“薅羊毛”。

國內現首部關于比特幣的電影《瘋狂的比特幣》:據網易娛樂報道,電影《瘋狂的比特幣》2018年1月28日開機,3月4日在唐山市海鮮酒樓宴會廳隆重舉行新聞發布會開機儀式。社會各界人士將近300人及數十家新聞媒體參加。這部電影由岳學剛出品,陳太源執導。這將是國內首部關于比特幣的電影。[2018/3/14]

而在4月23日,NFT項目Akutar驚現低級漏洞,它的AkuAuction合約由于智能合約本身漏洞,導致11539ETH(價值約3400萬美元)被鎖死在合約中。經成都鏈安技術團隊分析,發現Akutar項目的智能合約包含2個漏洞:

第一個合約漏洞在processRefunds中,設計者根據refundProgress計數器進行循環退款,而如果有攻擊者此時在fallback中進行revert則會導致后面的人都無法進行退款,這個漏洞被人在鏈上證明但沒有進行攻擊利用。

瘋狂的比特幣礦機:一天一個價:據第一財經消息,近期隨著比特幣價格總體暴漲,比特幣礦機已經搶手到價格要按交易當天來計算,甚至有黃牛黨坐地起價。四川成都一位比特幣礦工稱,“前幾個月一臺S9(螞蟻礦機)還1萬多,12月直接飆到近3萬,一天一個價。” 同時,火爆行情催生了幾個快公司,有的已經在準備新三板掛牌或上市,從制造礦機到托管、代運營,整條比特幣產業鏈在中國已經相當完整。[2018/1/23]

第二個漏洞在claimProjectFunds中,require語句(refundProgress > = totalBids)的totalBids變量應該是bidIndex,這個漏洞使得該判斷條件永遠失敗,導致無法執行后續的提款操作。最終,導致項目方11539ETH(價值約3400萬美元)被鎖定無法提取。

CME董事長Leo Melamed:CME將馴服比特幣,讓比特幣不狂野、不瘋狂:12月18日,全球最大的衍生品交易所運營商CME開始了比特幣期貨交易,該合約開盤價為今日盤中高位達到20650美元,隨后一度跌逾11%。CME董事長Leo Melamed聲稱:“CME將馴服比特幣,讓比特幣不狂野、不瘋狂,我們將把比特幣馴服成一種有規則的交易工具。”[2017/12/18]

可見關注NFT合約風險,變得越來越緊迫。

根據NFTSCAN數據顯示,目前全球NFT項目已接近七萬個,而且數據還在持續增長中。

委內瑞拉瘋狂打擊比特幣礦工 要求所有礦場注冊登記:預計在12月22日之前,委內瑞拉政府要求比特幣礦商必須登記注冊。卡洛斯?瓦加斯(Carlos Vargas)最近被任命為委內瑞拉加密貨幣主管,并在周二表示,我們要知道礦工都是誰、都在哪里、用的什么樣的挖礦設備。與此同時,委內瑞拉繼續打擊礦工,搶占礦場設備,并以洗錢、非法賄賂、電腦犯罪、資助恐怖主義、破壞國家電力系統等罪名逮捕礦工。[2017/12/15]

數據來源:NFTSCAN(統計時間:2022.4.25 18:00)

NFT作為Web3.0的底座,它的安全問題對行業發展同樣重要,為了護航Web3.0的安全生態,成都鏈安通過智能合約形式化驗證工具鏈必驗對上千個NFT項目進行漏洞掃描,發現NFT常見的合約問題還包括以下幾類:

業務邏輯相關問題:

此類問題可能直接導致合約的業務邏輯出錯。

漏洞描述:chapterAuctionMinted的值永遠為初始值,但是在此處使用的判斷條件中,使用了該值進行條件檢查。如果在開發期間使用[鏈必驗]掃描后,開發者可根據掃描結果判斷是否是相關邏輯缺失(可能導致NFT超量發放等業務邏輯安全問題),亦或是冗余代碼。

漏洞描述:未檢測返回值。在NFT項目中,經常存在有償鑄幣的功能,調用者需要將作為鑄幣手續費的ERC20代幣發送到NFT鑄幣合約中,然后NFT鑄幣合約為其鑄造對應數量的NFT代幣。但是部分ERC20合約存在假充值的問題,即轉賬失敗不拋出異常而是返回false,這樣就會導致一個問題,攻擊者可以利用這點,在未支付手續費的情況下,鑄造任意數量的NFT。開發者應根據VaaS掃描結果的建議,檢查transferFrom操作的返回值或者使用safeTransferFrom函數進行ERC20代幣轉賬。

代碼規范相關問題

此類問題可能不會直接造成業務邏輯出錯,但是會影響代碼的可讀性,造成合約調用時有多余的gas消耗等。同時不規范的代碼也容易導致編寫時邏輯混亂,有隱藏的邏輯錯誤的概率更高。

漏洞描述:此處循環的結束條件為curr>=0,而curr為uint導致curr>=0恒滿足。此處會導致循環無法正常結束。[鏈必驗]在掃描中會對這類結果為定值的條件進行告警,用戶可以通過提示確認此處邏輯,對條件進行刪除或修改。

漏洞描述:此處event中將string類型的數據標記了indexed,該寫法會導致在事件結果中無法直接獲得對應的string結果。建議用戶參考[鏈必驗]的提示,僅使用indexed修飾固定長度的變量。

研究發現,大多數的NFT合約都沒有進行過專業的安全審計,這就存在很大的安全隱患,容易導致攻擊事件的發生,造成資產的損失。所以NFT智能合約開發者應具備基本的安全開發意識,了解智能合約開發應注意的安全問題;此外,在合約設計和實現時,注意代碼實現的正確性。我們建議開發完成后,可使用[鏈必驗]對項目進行安全檢測。項目上線前,可選擇安全審計,規避安全風險。

安全,是區塊鏈技術能夠得以長足發展的重要保證,守護Web3.0的安全也變得愈發重要。今天我們所講的業務邏輯相關問題和代碼規范性相關問題,也是智能合約里面常見的問題類型?,后續我們將繼續推出NFT相關安全文章,請大家持續關注我們

Tags:NFT比特幣WEBWEB3.0RetroNFTs金比特幣是什么web3.0幣種在中國合法嗎web3.0幣龍頭

UNI
金色早報 | 美圖創始人蔡文勝宣布買入無聊猿BAYC#8848_加密貨幣

頭條 ▌蔡文勝宣布買入無聊猿BAYC#8848金色財經消息,據微博網友Jerome_Loo,美圖公司創始人蔡文勝在朋友圈發文稱,被fomo了,忍不住買了Bayc#8848.

1900/1/1 0:00:00
用程序員聽得懂的方式介紹零知識證明_Proof

本來想寫《用人話解釋零知識證明》,但是發現做不到,因為至今我也沒能用人話解釋區塊鏈原理,零知識證明比區塊鏈原理更抽象,網上的資料90%以上是關于這個算法的推導,但是對于90%以上的程序員來說.

1900/1/1 0:00:00
金色趨勢丨BTC到大底了嗎?_ETC

目前BTC最低再次跌破30000美金,如圖所示,可以看到快慢兩線自高位死叉后,依舊維持向下發散的狀態,快線距離0軸可能還需要段時間,BTC價格自前頂69000到目前整體也是震蕩向下趨勢.

1900/1/1 0:00:00
拆完蒙牛的元宇宙營銷 我看懂了未來品牌營銷的新玩法_元宇宙

過去一年多時間里,全球互聯網科技圈里,什么詞最火? 當然是“元宇宙”。 科技、資本、企業甚至是政府爭相涌入,巨頭紛紛入場,將元宇宙帶到了一個前所未有的關注點.

1900/1/1 0:00:00
2022 年第一季度DappRadar x BGA游戲報告_AND

盡管從微觀和宏觀經濟角度來看,目前的局勢充滿挑戰,但區塊鏈游戲活躍仍保持穩定。最近對Ronin橋的5億次黑客攻擊,提醒我們互操作性需要權衡取舍.

1900/1/1 0:00:00
又一加密基金尋求10億美元融資:Asymmetric已獲a16z、Solana等支持_ANN

又一只加密基金入場。 之前效力于 Passport 和微軟的 Joe McCann 已經獲得 Marc Andreessen 和 Solana 的 Anatoly Yakovenko 等人的投資.

1900/1/1 0:00:00
ads