安全可靠的NFT項目 你知道都是如何審計的嗎？_AND

NFT項目審計概覽

NFT是英語“NonFungibleToken”的簡稱，翻譯過來即非同質化通證。一個NFT可以被理解為是存儲在區塊鏈上的一個獨一無二的單元數據。每當談及NFT通證，我們會很自然地將其與常見的ERC-20通證進行類比。但NFT通證與ERC-20通證是有區別的，兩者的區別在于任何兩個NFT通證都互不相同，不可互換，即不同質。因此，與NFT相關的操作與ERC-20通證及其它類同質數字資產的操作相比有著明顯的區別。

近年來，以NFT為核心成長出了一個全新的生態，這個生態在2021年發展尤為迅猛。但是在生態快速發展的同時，生態中的安全問題卻頻繁顯現。當業界審視這些安全問題時往往將其與ERC-20通證生態中的安全問題進行類比，但是NFT領域中出現的安全問題卻有自己的特點和差異。然而這些特點和差異卻還沒有系統地受到業界的關注和研究。

關于NFT生態中的安全問題在學術界已經有學者進行了大膽地探索和研究，比如D.Das、P.Bose、N.Ruaro、C.Kruegel和G.Vigna合著的論文。然而在實踐和具體執行過程中，對NFT安全問題該采用什么方式檢視，什么流程審查，什么措施進行防范以及從哪些角度進行防范則缺乏深入的探討和研究。

Fairyproof研究團隊根據自身積累的專業知識和審計NFT項目中積累的實踐經驗，總結了一套系統、全面的方案，在此欲與業界和關注此領域發展的同仁進行探討和交流。

如果一個項目、應用或服務和NFT交互，則我們視其為NFT項目、NFT應用或NFT服務。如果一個應用或服務和NFT交互，我們則視這個應用或服務是整個NFT生態中的一員。所有這些應用和服務一起就組成了現在我們見到的NFT生態系統。

在這個生態系統中，根據其中每個成員在技術上扮演的角色，我們將其分為四類：NFT通證部署的區塊鏈、NFT通證的實現合約、實現商業邏輯及流程的核心應用、輔助NFT工作的應用或服務。

證券日報：區塊鏈技術將使數字底座安全可信:11月2日消息，《證券日報》刊發文章《數字化轉型浪潮滾滾，區塊鏈造就可信“數字經濟底座”》，文章指出：多位業內人士認為，以區塊鏈、隱私計算為代表的技術正在為人類協作建立信任基礎、確保數據安全有序流動提供了“革命性”的工具，這些技術形成的產業本身也是可信經濟的重要組成部分。伴隨相關標準化的推進，這些技術還將形成更大合力，助力可信經濟釋放更大價值。

寶新金融首席經濟學家鄭磊在接受《證券日報》記者采訪時表示：“可信數字底座屬于數字經濟基礎設施的概念范疇，它包含基礎設施與公共服務數字化（包括數字化政務）。未來的發展主力是政府和國有企業，這是城市數字化的基礎，政府可以通過政務數字化，打造強健完善的數字基礎設施（如可信互聯網，區塊鏈主要節點、5G基站、數據中心等），提升公共服務數字化水平，制訂相關法規、標準，制訂發展和扶持政策等，有效降低商業企業的數字化轉型成本，提供更多商業機會和應用場景，加快城市數字化的建設進程。”[2021/11/2 21:18:43]

對于NFT項目的審計，這四類成員都需要關注和審視。如果NFT部署的區塊鏈不能正常工作，項目就失去了根本；如果NFT通證的實現合約有問題，那NFT就無法正常工作，項目就失去了內核；如果項目的商業邏輯和流程設計有問題，那項目就只剩下毫無生命力的NFT通證；如果輔助NFT工作的應用或服務不能正常工作或者項目沒有選擇合適的輔助應用或服務，則NFT就無法將其潛力充分發揮。

因此這四者的安全和審計缺一不可，都不能忽視。在本文接下來的篇章，我們將對這四者的安全及審計分別展開論述。

銘識協議Eric Yao：構建去中心化的共建共享共益的安全可信知識圖譜協作平臺極為重要:金色財經現場報道，4月23日，數御未來——2021數據與存儲產業峰會在成都舉辦。在會議現場，銘識協議中國區負責人Eric Yao表示，隨著大數據紅利的消失殆盡，以深度學習為代表的感知智能水平日益接近其“天花板”，十四五規劃也在人工智能發展中多次強調學習推理決策能力，AI亟待從感知智能向認知智能突破。機器的智能離不開大規模和結構化的背景知識，這種結構化背景知識的實現依賴于知識圖譜技術。但大規模知識圖譜構建成本高、知識圖譜數據中心化聚集嚴重。所以一個去中心化的共建共享共益的安全可信知識圖譜協作平臺的建設極為重要，這也是銘識協議 - EpiK Protocol創建的初衷。從區塊鏈技術本質看，去中心化一定造成成本的上升，但是將會帶來組織管理成本的下降。基于區塊鏈構建的四大可信能力，讓銘識協議能以較低的組織成本引導全球社區共同構建各領域知識圖譜，賦能認知智能發展。[2021/4/23 20:50:45]

對區塊鏈的審計

對于NFT項目所部署的區塊鏈，如果它是一條比較成熟的區塊鏈，則通常情況下，無需再對其進行審計，這一步可以跳過。因為成熟的區塊鏈已經在經年累月的發展和成長中，歷經各種安全事故的挑戰和磨練，在安全上已經有了較為可靠的保障和信用。如果其部署的區塊鏈是新生的，則理論上對區塊鏈的審計是不能忽略的。

對區塊鏈的審計在業界已經相對成熟。此類審計的方式、方法、流程及重點和難點已經是包括Fairyproof在內的區塊鏈安全公司比較熟練的業務和領域。對業界和安全公司來說，這類審計并不陌生。

對NFT實現合約的審計

NFT通證的實現，從技術上來講和常見的ERC-20通證類似，都是由一個或多個智能合約組成。但是，由于NFT實現所基于的通證標準和ERC-20同質通證不同，因此NFT通證中可能出現的問題也與ERC-20通證略有不同。這其中一個典型的問題就是NFT的發行功能在實現時是否使用了合適的隨機數。如果使用的隨機數不合適，則NFT在發行時可能遭遇“回滾”攻擊，即用戶可以通過不斷回滾交易，直到獲取自己偏好的NFT。因此對NFT實現合約的審計也和對ERC-20合約的審計略有不同，其主要表現在關注點、重點和難點有所不同。

孫宇晨：TUSD是安全可靠并且便捷的穩定幣選項:據官方消息，波場TRON創始人兼BitTorrent CEO孫宇晨正在一直播平臺進行直播，全面解析合規穩定幣TUSD入駐波場TRON的未來和機遇。他在直播中表示：“穩定幣是波場生態的重要板塊之一，波場目前有多種穩定幣類型，包含了法幣抵押型穩定幣和數字貨幣抵押型穩定幣（USDJ）。

TUSD是全球透明，完全抵押并經鏈上實時驗證的美元穩定幣，于2018年3月由TrustToken發行，是 1:1 錨定美元的穩定幣，其美元資產存儲在已簽署托管協議的多家信托公司的銀行賬戶中。TUSD相關儲備金信息在官網是實時更新的，并由美國頂級會計公司Armanino實時審計，確保信息公開、透明。我們也有義務為波場社區提供更安全可靠并且便捷的穩定幣選項，TUSD顯然是一個很好的選擇。”[2021/4/15 20:24:04]

對此，Fairyproof在實踐中系統地總結了經驗，并開發一套自動化的審計工具，能夠快速定位NFT合約中的風險點，排除潛在風險。

對核心商業邏輯應用的審計

這里我們所指的核心商業邏輯應用主要是指在一個NFT項目中，實現商業邏輯的部分。這部分應用會和各類NFT通證交互。

在一個NFT項目中實現商業邏輯的應用通常可分為兩類：

一類是典型的互聯網2.0應用。它在項目中和NFT的交互及實現的商業邏輯比較簡單，通常只涉及一些簡單的NFT操作，比如NFT的發行、NFT的轉賬等。近年極為流行的“PFP”項目就屬于這類。

另一類是包含了互聯網2.0應用和區塊鏈智能合約的綜合應用。這類綜合應用包含的NFT操作要復雜得多，除了簡單的NFT發行和轉賬，還有NFT通證的管理、NFT通證的抵押等。現在NFT生態中最大的應用比如交易平臺就是這類。

現場 | 鐘宏：抓住區塊鏈+數字經濟3.0的機會構建安全可控的數權經濟:金色財經報道，11月29日上午，由國研智庫創新科學園、廣州市科學技術協會、區塊鏈產業人才研究所、清華x-lab、粵港澳大灣區區塊鏈聯盟、廣州市區塊鏈產業協會聯合舉辦的“學習習總書記區塊鏈技術重要講話精神暨粵港澳區塊鏈技術與產業創新發展高級研討活動”在廣東科學館報告廳舉行，清華x-lab青藤鏈盟研究院院長、區塊鏈產業智庫專家鐘宏發表“學習習總書記講話精神“區塊鏈+”數字經濟3.0新模式”主題演講，他表示，習總書記講話明確中國特色區塊鏈，要重點推動技術創新發展和社會經濟融合發展。抓住區塊鏈+數字經濟3.0的機會，萬物上鏈，構建安全可控的數權經濟。區塊鏈是建立可信的數權體制，一切權益數據化。區塊鏈是數據經濟生產要素的基礎設施。隨著區塊鏈和數權經濟的到來，區塊鏈要在政務上鏈、依法治國上鏈、存證上鏈上發力。區塊鏈帶來數字經濟3.0增長機遇：治理上鏈、金融上鏈、產業上鏈。[2019/11/29]

盡管這兩類應用在復雜程度上有區別，但它們和基于ERC-20通證的應用相比都展現出一些特有的共性，這些共性也是NFT應用的共性。

這些共性主要表現在：首先NFT應用涉及的鏈上操作不如ERC-20通證應用涉及的鏈上操作復雜；其次很多NFT應用面向的用戶是非技術類人士，這些用戶有些甚至沒有區塊鏈方面的知識，也不了解基于區塊鏈的數字貨幣。

因此為了讓大量非專業領域的用戶在無需具備區塊鏈或數字貨幣知識的情況下毫無障礙地使用和參與NFT項目，很多開發團隊會花費大量的精力和資源來設計和優化用戶界面，使之更符合用戶已經在互聯網2.0應用中建立起來的習慣。這便自然而然地使一些項目在設計和開發的過程中大量沿襲使用互聯網2.0應用的技術和流程。一方面，這降低了用戶的使用門檻，更便于新用戶進入NFT領域；但另一方面，這也使得這些NFT應用有過于中心化的傾向。這種過于中心化的傾向不僅存在于應用的技術實現上，也存在于商業邏輯和流程中。

工信部電子工業標準化研究院區塊鏈研究室主任李鳴：區塊鏈可以保證數據安全可信:李鳴表示：區塊鏈在信息互聯網扮演組織關系的角色，信息時代要最大化地利用數據的價值，但前提是要保證數據的安全可信，區塊鏈可以解決這個問題，區塊鏈會發展得更好。[2018/3/29]

這里我們想特別強調的是：在現有NFT應用中涉及到商業邏輯和流程的部分可能會存在什么問題、是否有某些未知的隱患等還沒有引起業界尤其是安全領域從業者的足夠關注和研究。比如在目前諸多流行的NFT交易平臺中，KYC還并未被強制要求，更談不上堅決執行，在這種情況下如何防范安全事故及對黑客身份的追蹤、定位；再如對NFT項目“真偽”的驗證在大多數交易平臺上還只是可選項而非必須執行項，在這種情況下如何防止用戶誤入假冒項目；還有對于NFT原創團隊在設定及收取交易分紅方面目前各類平臺所采用的流程和方式是否存在安全上的漏洞和隱患以及是否存在欺詐和不公？......

對上述問題的展開和研究目前都鮮有看到業界提及，更遑論進行深入的探討。

對此Fairyproof一直在進行跟蹤研究和探索，并在這些方面積累和總結了經驗，并研發了一套綜合性的框架和系統，能給NFT領域的從業者提出建設性的意見及切實可行的方案。

對輔助服務或應用的審計

這里所提到的輔助服務或應用是指有助于NFT充分發揮其功能或特色的服務或應用。典型的如為NFT存儲元數據的服務或應用.?

興起于2021年的PFP項目就利用了輔助服務或應用。這類典型的NFT項目往往是發行一定恒定數量的NFT，每個NFT都有一個獨一無二的圖片，每個圖片包含各種特征的組合。對每個NFT來說，這個圖片就是它的元數據。

這些圖片往往為了吸引用戶買入和持有都經過精心的設計而獨具特色，因此圖片的保存和顯示對這類NFT項目來說就顯得非常重要。很多項目在設計時都考慮了使用各種方案使圖片能夠盡量永久保存。因此什么樣的服務或應用能夠提供可靠、穩妥的永久存儲就是這些項目方關注的重點。

目前在業界常見的存儲方案主要有去中心化的存儲應用和中心化的存儲應用。前者典型的有IPFS、Arweave等。后者主要有亞馬遜云等。

但是這些存儲方案并非每個都能現成地提供永久存儲，有些可以提供永久存儲但費用較高，有些只能提供按時收費的臨時存儲，各有優缺點。因此如何綜合考慮使用一種或多種方案進行組合，構建一套能夠永久存儲的服務就是項目開發者必須考慮的問題。

但是當項目方考慮使用這些方案時，這些方案本身可能存在什么問題？在組合使用這些方案時可能存在哪些安全上的隱患或者潛在風險？如何規避和防范這些隱患或潛在風險？有關這些問題的討論和研究至今所見相當有限。

Fairyproof自成立伊始便開始關注這個領域的研究和探索，尤其是在安全實踐中可能會存在什么難點和重點等。我們基于自身的積累和實踐，探索、研發了一套系統的方案用來評價和審查NFT輔助服務或應用，并研發、部署了一套全面的流程和系統以檢視這些輔助服務或應用在各類實踐方案中可能存在的安全隱患及潛在風險。

對NFT項目的審計不單單是對NFT智能合約的審計，它是一個系統工程、是一套綜合流程，需要從生態的角度全面審視NFT本身、其核心業務邏輯及所涉及的周邊應用、基礎設施和輔助服務。

Fairyproof一直并將持續、密切地關注NFT生態的發展，持之以恒地深入研究這個領域的安全問題，在已經建立的成熟框架上繼續擴展和探索領域內最新的發展，并繼續和同業分享我們對前沿問題的思考和前瞻判斷。

參考文獻：

Non-fungibletoken,https://en.wikipedia.org/wiki/Non-fungible_token,Feb22,2022

ERC-20TokenStandard,https://ethereum.org/en/developers/docs/standards/tokens/erc-20/

UnderstandingSecurityIssuesintheNFTEcosystem,https://arxiv.org/abs/2111.08893,Jan19,2022

ERC-721Non-fungibleTokenStandard,

https://ethereum.org/en/developers/docs/standards/tokens/erc-721/

EIP-1155:MultiTokenStandard,https://eips.ethereum.org/EIPS/eip-1155?

ABeginner’sGuidetoUnderstandingPFPNFTs,

https://medium.com/geekculture/a-beginners-guide-to-understanding-pfp-nfts-8714e9d30d0b,August29,2021

CryptoPunks,https://www.larvalabs.com/cryptopunks

BAYC,https://boredapeyachtclub.com/#/

OpenSea,https://opensea.io/

Rarible,https://rarible.com/

Curve,https://curve.fi/

MakerDAO,https://makerdao.com/

NiftyGateway,https://niftygateway.com/

metadata,https://csrc.nist.gov/glossary/term/metadata

IPFS,https://ipfs.io/

Arweave,https://www.arweave.org/

AWS,https://aws.amazon.com/

Abouttheauthor:

YuefeiTAN,CEOofFairyproof

AboutFairyproof:

FairyproofTechisablockchainsecuritycompany,establishedinJan2021.

Itwasfoundedbyateamwithrichexperienceinsmartcontractprogrammingandnetworksecurity.TheteammembersparticipatedininitiatinganumberofdraftstandardsintheEthereumfield,includingERC-1646,ERC-2569,ERC-2794,andEIP-3712,ofwhichERC-2569wasofficiallyacceptedbytheEthereumteam.

TheteamparticipatedinthelaunchanddevelopmentofvariousEthereumprojects,includingblockchainplatforms,DAOorganizations,on-chaindatastorage,decentralizedexchanges,andconductedsecurityauditsofmultipleprojectswhichhavebeendeployedonEthereum.BasedonitsstrongR&Dcapabilityanddeepunderstandingofsmartcontractsecurity,Fairyproofhasdevelopedcomprehensivevulnerabilitytrackingandsecuritysystemsandtools.

FairyproofTechservesandworkscloselywithcustomersbyprovidingsystematicsolutionscoveringboth“codevulnerabilities”and“logicvulnerabilities”andaimstoprovidecustomerswiththebestandmostprofessionalservices.

Tags：NFT區塊鏈ANDPROCNFT價格區塊鏈是窮人的最后一次機會LionIsland InuComPro

瑞波幣