木星链 木星链
Ctrl+D收藏木星链
首页 > 火币APP > 正文

NFT:疯狂“出圈”和刷屏之后 Web3.0热潮下的NFT安全如何保证?

作者:

时间:1900/1/1 0:00:00

最近一段时间,Web3.0不断“刷屏”,NFT疯狂“出圈”,有人撸空投,有人搞收藏,有人说,NFT的爆炸性增长正在推动Web 3.0的发展。

Web1.0 到 Web2.0 实现了内容的消费者向内容生产者的转变,其本质是进行了一次从物理世界向网络世界的平行时空的大迁徙,当我们畅谈 Web3.0 的发展时,不得不进一步提到关于区块链,因为区块链的去中心化、去信任和防篡改的特性很好的对标了 Web3.0 的目标——创造新一代互联网,让每个用户掌握自己的数据、身份和命运。

Web3.0基于区块链而存在,承诺将隐私和数字身份还给用户,同时由于NFT等的应用,实现了新的互动水平。但我们更需要的是Web3.0热潮下NFT的诸多“危险”与“隐患”,最近NFT领域随处可见的“黑客事件”也证明了我们需要将“安全”放在第一位。

新华社:百倍杠杆!疯狂的币圈带来“暴富”还是“爆仓”?:5月29日晚,新华社发布题为《百倍杠杆!疯狂的“币圈”带来“暴富”还是“爆仓”?》的文章,再次对虚拟货币表示关注。这是新华社在两天内第3次发问虚拟货币。

文章表示,让众多投资者一夜之间账面清零的背后,是“币圈”的期货合约交易。近年来,除了现货交易,期货合约交易逐步成为虚拟货币交易的重要衍生品。此类合约具有双向交易、高杠杆等特征。从表面上看,此类合约可以对冲风险,但更多投资者把其视为“一夜暴富”的工具。因为,加杠杆后,随着“币值”涨跌,收益也会成倍变化。虚拟货币的交易风险远不止价格剧烈波动,在交易炒作的背后还常常伴随着“庄家”操纵市场价格。业内人士表示,虚拟货币交易没有实物依托,价格容易被操纵。尤其是不少“空气币”发行技术模糊,发行上限不确定,存在巨量持有者,极易被“庄家”操纵价格。高杠杆下的爆仓,众多投资者两手空空血本无归,虚拟货币交易平台却在其中稳赚收益。

此前消息,5月28日晚,新华社发布了《1万台“矿机”一个月能“吃”4500万度电!挖的是“币”还是“坑”?》,就比特币“挖矿”带来的巨大能源损耗提出质疑。29日中午,新华社发布《加密货币,是金融创新还是“庞氏局”?》,再次就比特币等虚拟货币发问。[2021/5/30 22:55:57]

4月21日,NBA的NFT项目合约遭受攻击,攻击者利用了签名未验证,在合约代码中,vData memory参数info在传入函数中未进行验证导致签名可复用,攻击者可以通过使用其他人的签名来进行Mint,导致项目方被疯狂“薅羊毛”。

V神:DeFi收益耕作就像央行疯狂印钞:以太坊联合创始人Vitalik Buterin认为,DeFi收益耕作就像中央银行为拯救经济疯狂印钞一样是不可持续的,而且他对目前DeFi市场热潮持怀疑态度。Vitalik Buterin还暗示说:到目前为止,我看到产生长期费用的唯一策略是某种怪异的金融攻击,抢夺流动性并从未掉期交易中窃取网络效应,我对这种策略感到悲观。有人认为Vitalik Buterin这种说辞可能在暗示Uniswap+收益耕作工具Sushiswap。Vitalik Buterin建议最好完全摆脱收益耕作,直到它逐渐发展为一个更具可持续性的行业。(decrypto)[2020/9/1]

Coinbase联合创始人Fred Ehrsam:区块链不只是一场疯狂的投机游戏:今日,Coinbase联合创始人Fred Ehrsam和A16Z Chris Dixon进行对话。Fred Ehrsam认为区块链最大的意义在于,我们第一次把经济系统嵌入到了互联网里。因为在互联网的基础设计上,我们并没有把这种支付的能力写入到底层协议的代码里面,所以你没办法直接在协议层支付购买你想要的商品或服务。而去中心化的区块链和token则是一种更直接的经济系统。[2018/4/12]

而在4月23日,NFT项目Akutar惊现低级漏洞,它的AkuAuction合约由于智能合约本身漏洞,导致11539ETH(价值约3400万美元)被锁死在合约中。经成都链安技术团队分析,发现Akutar项目的智能合约包含2个漏洞:

安联疯狂唱空比特币:一文不值,泡沫即将破灭:近日欧洲最大保险机构安联集团选择站在了空方,认为比特币将“一文不值”。安联集团旗下投资部门,掌管着近5000亿欧元资金的安联全球投资(Allianz Global Investors)主管霍夫里希特(Stefan Hofrichter)认为即使区块链技术可以为投资者带来收益,但比特币本身没有任何内在价值。他还表示,比特币的消亡不会对“现实世界”产生溢出效应,因为它的市场规模仍然很小。因此,我们认为比特币带来的金融稳定风险是可以忽略不计的,至少目前如此。[2018/3/15]

第一个合约漏洞在processRefunds中,设计者根据refundProgress计数器进行循环退款,而如果有攻击者此时在fallback中进行revert则会导致后面的人都无法进行退款,这个漏洞被人在链上证明但没有进行攻击利用。

比特币为何如此疯狂:答案也许在这1000多个账户里:就在上周四晚到今天,几天时间里比特币的疯狂再次呈现:先是价格突破1.5万美元,就也就是突破10万元人民币!紧接着,比特币的价格又跌破13000美元关口。新进的比特币投资者必须警惕:这1000多人或许具有影响比特币整体的定价能力。芝加哥大学基金会前任投资组合经理Ari Paul认为,和任何资产类别一样,大型个人持有者和大型机构持有人可以合谋操纵价格。还有一种可能,这些早期比特币投资者已经彼此认识,因为他们是在早期挖掘加密货币比较容易时进入这个市场,当时“挖矿”行业和币圈的圈子很小。[2017/12/11]

第二个漏洞在claimProjectFunds中,require语句(refundProgress > = totalBids)的totalBids变量应该是bidIndex,这个漏洞使得该判断条件永远失败,导致无法执行后续的提款操作。最终,导致项目方11539ETH(价值约3400万美元)被锁定无法提取。

可见关注NFT合约风险,变得越来越紧迫。

根据NFTSCAN数据显示,目前全球NFT项目已接近七万个,而且数据还在持续增长中。

数据来源:NFTSCAN(统计时间:2022.4.25 18:00)

NFT作为Web3.0的底座,它的安全问题对行业发展同样重要,为了护航Web3.0的安全生态,成都链安通过智能合约形式化验证工具链必验对上千个NFT项目进行漏洞扫描,发现NFT常见的合约问题还包括以下几类:

业务逻辑相关问题:

此类问题可能直接导致合约的业务逻辑出错。

漏洞描述:chapterAuctionMinted的值永远为初始值,但是在此处使用的判断条件中,使用了该值进行条件检查。如果在开发期间使用[链必验]扫描后,开发者可根据扫描结果判断是否是相关逻辑缺失(可能导致NFT超量发放等业务逻辑安全问题),亦或是冗余代码。

漏洞描述:未检测返回值。在NFT项目中,经常存在有偿铸币的功能,调用者需要将作为铸币手续费的ERC20代币发送到NFT铸币合约中,然后NFT铸币合约为其铸造对应数量的NFT代币。但是部分ERC20合约存在假充值的问题,即转账失败不抛出异常而是返回false,这样就会导致一个问题,攻击者可以利用这点,在未支付手续费的情况下,铸造任意数量的NFT。开发者应根据VaaS扫描结果的建议,检查transferFrom操作的返回值或者使用safeTransferFrom函数进行ERC20代币转账。

代码规范相关问题

此类问题可能不会直接造成业务逻辑出错,但是会影响代码的可读性,造成合约调用时有多余的gas消耗等。同时不规范的代码也容易导致编写时逻辑混乱,有隐藏的逻辑错误的概率更高。

漏洞描述:此处循环的结束条件为curr>=0,而curr为uint导致curr>=0恒满足。此处会导致循环无法正常结束。[链必验]在扫描中会对这类结果为定值的条件进行告警,用户可以通过提示确认此处逻辑,对条件进行删除或修改。

漏洞描述:此处event中将string类型的数据标记了indexed,该写法会导致在事件结果中无法直接获得对应的string结果。建议用户参考[链必验]的提示,仅使用indexed修饰固定长度的变量。

研究发现,大多数的NFT合约都没有进行过专业的安全审计,这就存在很大的安全隐患,容易导致攻击事件的发生,造成资产的损失。所以NFT智能合约开发者应具备基本的安全开发意识,了解智能合约开发应注意的安全问题;此外,在合约设计和实现时,注意代码实现的正确性。我们建议开发完成后,可使用[链必验]对项目进行安全检测。项目上线前,可选择安全审计,规避安全风险。

安全,是区块链技术能够得以长足发展的重要保证,守护Web3.0的安全也变得愈发重要。今天我们所讲的业务逻辑相关问题和代码规范性相关问题,也是智能合约里面常见的问题类型?,后续我们将继续推出NFT相关安全文章,请大家持续关注我们

标签:NFT比特币WEB区块链nft币价格今日行情分析小比特币最新价格fio币web3国内区块链公司前十排名

火币APP热门资讯
BTC:金色趋势丨BTC下跌中继还是蓄势待发?

上图为BTC周线和MA50、100和200均线走势,可以发现目前BTC周线已跌破50均线支撑,前期反弹未能突破站稳,我们知道50周均线在BTC一轮牛市进程中起到关键作用.

1900/1/1 0:00:00
NFT:金色Web3.0日报 | 美国《时代》杂志公开招聘六个Web3岗位需求

1.DeFi代币总市值:1223.17亿美元 DeFi总市值 数据来源:coingecko2.过去24小时去中心化交易所的交易量:63.

1900/1/1 0:00:00
AND:Messari 报告:The Sandbox Q1 数字土地销量回归正常水平 未来生态会如何扩展?

关键要点鉴于整体市场降温,数字地块的二级销售下降了 54%,但仍比 2021 年第三季度增长了 865%。一级销售量因新地块(Parcel)的发行而增长 23%.

1900/1/1 0:00:00
NFT:浅谈NFT的注意力经济

在如今这种信息高速发展的时代中,注意力的价值将会超过信息。所谓注意力经济(Attention Economy),是将人类的注意力作为一种稀缺的资源并且运用经济学理论来进行运营.

1900/1/1 0:00:00
元宇宙:元宇宙还没焐热乎 工业元宇宙又来了

最近两年哪些词汇最引入关注呢?想必“元宇宙”一词一定会占有一席之地。据悉,2021年百度、谷歌有关元宇宙一词的搜索量均已达到数十亿量级别,同时2021年也是元宇宙元年.

1900/1/1 0:00:00
BAY:4万起家 一年后估值40亿 Yuga Labs会成为WEB3.0的迪士尼吗?

Yuga Labs的新愿景是致力于打破文化和Web3.0的沟壑,并将继续打造新IP、收购老IP.

1900/1/1 0:00:00