疯狂“出圈”和刷屏之后 Web3.0热潮下的NFT安全如何保证?

最近一段时间,Web3.0不断“刷屏”,NFT疯狂“出圈”,有人撸空投,有人搞收藏,有人说,NFT的爆炸性增长正在推动Web 3.0的发展。

Web1.0 到 Web2.0 实现了内容的消费者向内容生产者的转变,其本质是进行了一次从物理世界向网络世界的平行时空的大迁徙,当我们畅谈 Web3.0 的发展时,不得不进一步提到关于区块链,因为区块链的去中心化、去信任和防篡改的特性很好的对标了 Web3.0 的目标——创造新一代互联网,让每个用户掌握自己的数据、身份和命运。

Web3.0基于区块链而存在,承诺将隐私和数字身份还给用户,同时由于NFT等的应用,实现了新的互动水平。但我们更需要的是Web3.0热潮下NFT的诸多“危险”与“隐患”,最近NFT领域随处可见的“黑客事件”也证明了我们需要将“安全”放在第一位。

4月21日,NBA的NFT项目合约遭受攻击,攻击者利用了签名未验证,在合约代码中,vData memory参数info在传入函数中未进行验证导致签名可复用,攻击者可以通过使用其他人的签名来进行Mint,导致项目方被疯狂“薅羊毛”。

当前BTC全网合约持仓总量87.03亿美元:据合约帝持仓报告显示,当前全网合约持仓总量为87.03亿美元,24小时减少0.8亿美元。其中,Huobi合约17.63亿美元,24小时减少1.35%;OKEx合约19.77亿美元,24小时增加0.48%;BitMEX合约8.87亿美元,24小时增加1.60%;Binance合约15.43亿美元,24小时减少5.38%;Bybit合约25.31亿美元,24小时减少0.16%。[2021/4/21 20:44:04]

而在4月23日,NFT项目Akutar惊现低级漏洞,它的AkuAuction合约由于智能合约本身漏洞,导致11539ETH(价值约3400万美元)被锁死在合约中。经成都链安技术团队分析,发现Akutar项目的智能合约包含2个漏洞:

第一个合约漏洞在processRefunds中,设计者根据refundProgress计数器进行循环退款,而如果有攻击者此时在fallback中进行revert则会导致后面的人都无法进行退款,这个漏洞被人在链上证明但没有进行攻击利用。

第二个漏洞在claimProjectFunds中,require语句(refundProgress > = totalBids)的totalBids变量应该是bidIndex,这个漏洞使得该判断条件永远失败,导致无法执行后续的提款操作。最终,导致项目方11539ETH(价值约3400万美元)被锁定无法提取。

Coinbase CEO 2020年全年薪酬超过摩根大通首席执行官和库克:根据彭博社周五的报告,Coinbase首席执行官Brian Armstrong的净资产在70亿至150亿美元之间,根据最近的私人股票销售,该加密货币交易所的估值高达1000亿美元。报道称,在Coinbase走向公开上市之际,这让Armstrong跻身世界500强富豪之列。这位高管在2020年全年的薪酬净额也接近6000万美元,超过了摩根大通首席执行官Jamie Dimon,3150万美元和苹果首席执行官蒂姆-库克(Tim Cook,1470万美元)。(Coindesk)[2021/2/27 17:59:17]

可见关注NFT合约风险,变得越来越紧迫。

根据NFTSCAN数据显示,目前全球NFT项目已接近七万个,而且数据还在持续增长中。

数据来源:NFTSCAN(统计时间:2022.4.25 18:00)

NFT作为Web3.0的底座,它的安全问题对行业发展同样重要,为了护航Web3.0的安全生态,成都链安通过智能合约形式化验证工具链必验对上千个NFT项目进行漏洞扫描,发现NFT常见的合约问题还包括以下几类:

业务逻辑相关问题:

此类问题可能直接导致合约的业务逻辑出错。

漏洞描述:chapterAuctionMinted的值永远为初始值,但是在此处使用的判断条件中,使用了该值进行条件检查。如果在开发期间使用【链必验】扫描后,开发者可根据扫描结果判断是否是相关逻辑缺失(可能导致NFT超量发放等业务逻辑安全问题),亦或是冗余代码。

漏洞描述:未检测返回值。在NFT项目中,经常存在有偿铸币的功能,调用者需要将作为铸币手续费的ERC20代币发送到NFT铸币合约中,然后NFT铸币合约为其铸造对应数量的NFT代币。但是部分ERC20合约存在假充值的问题,即转账失败不抛出异常而是返回false,这样就会导致一个问题,攻击者可以利用这点,在未支付手续费的情况下,铸造任意数量的NFT。开发者应根据VaaS扫描结果的建议,检查transferFrom操作的返回值或者使用safeTransferFrom函数进行ERC20代币转账。

代码规范相关问题

此类问题可能不会直接造成业务逻辑出错,但是会影响代码的可读性,造成合约调用时有多余的gas消耗等。同时不规范的代码也容易导致编写时逻辑混乱,有隐藏的逻辑错误的概率更高。

漏洞描述:此处循环的结束条件为curr>=0,而curr为uint导致curr>=0恒满足。此处会导致循环无法正常结束。【链必验】在扫描中会对这类结果为定值的条件进行告警,用户可以通过提示确认此处逻辑,对条件进行删除或修改。

漏洞描述:此处event中将string类型的数据标记了indexed,该写法会导致在事件结果中无法直接获得对应的string结果。建议用户参考【链必验】的提示,仅使用indexed修饰固定长度的变量。

研究发现,大多数的NFT合约都没有进行过专业的安全审计,这就存在很大的安全隐患,容易导致攻击事件的发生,造成资产的损失。所以NFT智能合约开发者应具备基本的安全开发意识,了解智能合约开发应注意的安全问题;此外,在合约设计和实现时,注意代码实现的正确性。我们建议开发完成后,可使用【链必验】对项目进行安全检测。项目上线前,可选择安全审计,规避安全风险。

安全,是区块链技术能够得以长足发展的重要保证,守护Web3.0的安全也变得愈发重要。今天我们所讲的业务逻辑相关问题和代码规范性相关问题,也是智能合约里面常见的问题类型?,后续我们将继续推出NFT相关安全文章,请大家持续关注我们

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

OKBNFT项目成功的底层逻辑是什么?非蓝筹NFT项目怎么破局?

一.背景 4月,随着moonbirds 短时间破纪录交易额引爆市场,bayc土地即将发行带领yuga club家族蓝筹猛涨,村上隆花和NBA在科学家们几百万份邮件和漏洞攻击中无法抵挡,pass通证类项目也在细分赛道中逐渐真香, NFT市场整体迎来了一波小行情。

币安app官方下载最新版Web3.0架构不仅是去中心化的 更是模块化的

作者:Xiang|W3.Hitchhiker Web2.0应用以去中心交易所 Binance 为例,Binance 允许用户去交易各种代币。 Binance是一个 Web 2.0 应用程序,架构听起来很简单,但实际上在开发中,需要进行大量的工作。 用户需要通过网络运营商来使设备联网,然后打开浏览器,输入币安的域名,通过 http 协议去访问币安的网站。

DOGE在投资富达的比特币退休计划前 这些你需要知道

近日,币圈人士都被一个消息震惊了:资产管理巨头富达公司将允许投资者在其401(K)退休储蓄账户中存入比特币。从表面上看,这是个人接触此类新兴资产的一个简单途径,从纳税的角度来看是利好。但是,在你投资前仍需考虑一些重要因素。 名词解释 富达公司将于今年晚些时候向其雇员退休计划的账户开放加密货币服务,前提是雇主选择提供这项服务。

[0:15ms0-6:354ms