NFT 安全吗:回顾 CryptoPunks、Meebits 历史上的合约漏洞_比特币:MINE

随着日本开放NFT业务平台,韩国三大娱乐公司之一的JYP公司将目光转向NFT市场,NFT越来越受普通人的关注。

试想日本动漫,韩流涌入到NFT市场,其爆发力和潜力该有多大?

但是NFT和任何其他DeFi一样,都是由易受攻击的智能合约组成,因此NFT的安全现在也备受关注。本片从以往的NFT出现的一些事故来阐述NFT智能合约的故事。

NFT一个不太突出的方面是,它们是建立在智能合约之上的,而智能合约可以被利用、被破坏和被黑客攻击。与任何具有不完美智能合约的典型DeFi项目类似,NFT智能合约也可能存在导致不利结果的漏洞。随着我们讨论历史和一些导致资金损失的不幸事故,我们将回顾人们在过去几年里利用NFT合约所做的事情。

杭州互联网法院:NFT数字藏品属于网络虚拟财产受法律保护:金色财经报道,据杭州互联网法院公众号,杭州互联网法院审理了一起因NFT数字藏品交易引发的信息网络买卖合同纠纷案,原告因拼手速抢购的\"NFT数字藏品盲盒\"被退款索赔9万余元,法院判决,原告个人信息填错,诉讼驳回。

法院经审理认为,案涉交易对象为NFT数字藏品,而非NFT权益凭证。NFT数字藏品具有价值性、稀缺性、可支配性、可交易性等财产权客体特征,同时还具有网络虚拟性、技术性等网络虚拟财产特有属性,属于网络虚拟财产。涉案合同并不违反我国法律规定,亦未违反我国防范经济金融风险的现实政策及监管导向,应当受我国法律保护。[2022/12/5 21:22:51]

CryptoPunks

CryptoPunks可以说是迄今为止最受欢迎的NFT项目,在2017年推出后,其智能合约中出现了一个有影响的漏洞。当所有1万名Punks被卖出并进入二级市场后,发现了一个可能发生销售但未收到实际付款的错误。

Scott+Scott 律所对Yuga Labs 发起集体诉讼,或将确认NFT是否属于证券产品:金色财经报道,据decrypt消息,Scott+Scott 律师事务所目前正在组织针对 Yuga Labs 的集体诉讼。该诉讼将指控 Yuga 错误地将 Bored Ape NFT 和ApeCoin(该系列的原生以太坊代币)宣传为具有保证回报的证券产品,但在过去三个月中这些代币的价值出现暴跌。该案的原告尚未向联邦法院提出正式申诉。Scott+Scott 仍处于寻找在 4 月至 6 月期间因购买 Yuga 支持的 NFT 和代币而遭受损失的原告,该律所暂时没有立即回应对此事发表评论的请求。据悉,本案的关键是法院是否判定NFT属于证券,类似于可以升值的公司股份。如果法院认定 BAYC NFT及其原生代币 Apecoin 是证券,那么意味着Yuga Labs 可能没有履行与发行证券相关的必要披露和注册义务。[2022/7/25 2:35:30]

蒂芙尼以115 ETH购买Rocket Factory的Okapi NFT,进入NFT领域:3月26日消息,美国珠宝品牌蒂芙尼(Tiffany & Co.)发推宣布购买NFT系列Rocket Factory(火箭工厂)的Okapi NFT,进入NFT领域。根据OpenSea数据,5天前,Okapi NFT 以 115 ETH 售出。目前,蒂芙尼已将推特头像设置为该NFT。

Rocket Factory由美国艺术家Tom Sachs于去年8月份推出,火箭由头部、主干和尾部3个组件NFT组成,三种不同类型的组件可组合生成完整的火箭,完整火箭的上限数量为1000枚。[2022/3/27 14:19:45]

代码中的问题归结为一行——它没有经过足够的测试。@0xfoobar后来在Twitter上发布了一个帖子,详细解释了这个bug。

NFT-Horse获纳斯达克上市公司Future Fintech战略投资:12月18日消息,美国纳斯达克上市公司Future Fintech Group Inc.宣布战略投资体育竞技类GmaeFi项目NFT-Horse。Future Fintech Group Inc.是一家金融服务和金融科技公司,旨在为全球个人客户和企业提供高质量的数字化金融服务。FTFT拥有资产管理、供应链金融服务、和基于区块链的电子商务等领域的业务,并正在设立开发跨境支付和电子银行业务。[2021/12/18 7:48:07]

CryptoPunks的创建者LarvaLabs最终以一份新的、更新的合约重新启动了该项目。V1朋克是最初合约的一部分,直到CryptoPunksV1的ERC-721封装被发布,这也被称为「经典朋克」。

矿圈首发NFT作品拍卖完成 鱼池与艺术家联名款加密艺术品拍得49ETH:金色财经现场报道,4月25日,2021新基建区块链峰会在成都举办。在鱼池专场8周年正无限分会场,鱼池携手BCA加密艺术平台将区块链网络安全的守护者对行业充满信仰的敬畏精神装进加密艺术作品,并进行现场拍卖。值得一提的是,孙宇晨及Just基金远程参与了拍卖活动。最终,本次矿圈首发的NFT作品—鱼池与艺术家联名款加密艺术品由现场235号竞拍者矿工蒋先生以49 ETH拍得。[2021/4/25 20:56:22]

Meebits

在推出CryptoPunks多年后,LarvaLabs又推出了一个名为Meebits的后续项目。所有Meebits都带有随机特征。然而,在其启动时,一些用户想出了如何系统和重新滚动特征,以获得他们想要的特征。

如何?Meebits项目在智能合约中包含一个存档文件,显示每个Meebit代币ID的特征。用户可以启动Meebit的铸造,如果他们通过比较特征文件发现代币并不罕见,就可以取消它。一位用户充分利用了这一点,并在Twitter和Discord上公开记录了他的成功。这个用户是「0xNietzsche」。

0xNietzsche发起了300多笔交易来测试这一漏洞。如果没有足够稀有的特征,他们发起铸造的每个Meebit都会被取消。经过300多次交易,他们终于能够偶然发现一个罕见的Meebit。#16647。

「0xNietzsche」声称,他们每小时花了2万美元的gas费,等着铸造他们稀有的Meebit,但他们仍然利用合约这样做。他们能够以200ETH的价格出售新制作的Meebit,当时价值约75万美元。

LarvaLabs很快就听到风声,暂时停止了Meebit的铸造,并发布声明:「我们已经暂停了Meebit合约中的社区铸造和交易。合约是安全的,所有Meebits都是安全的,交易也很顺利。」他们是正确的,Meebits仍然是完全随机分配的——除非你投入大量的时间和gas费用,否则就不能利用合约,而那时,铸造几乎已经完成了。

尽管如此,Meebits是一个很好的例子,说明了如何利用智能合约,让一个或多个用户在创建NFT时获得竞争优势。

MoonCatRescue

MoonCatRescue于2017年推出,一开始他们的合约就有一个相当大的缺陷。

MoonCats官方常见问题解答页面提出了一个问题:您是否为此获得报酬?

回复:

不。我们打算从创世猫的销售中收集以太坊。然而,我们在QA过程中所做的修正却导致这些资金被永久封存。但这没关系。

当MoonCat被收养时,transferCat(catId,catOwners,msg.sender,offer.price),资金被发送到require(catOwners!=0x0。在测试中仔细检查它的话,其实是可以解决这个问题的。虽然这不是智能合约的主要缺陷,但在他们意识到这个错误之前,他们仍然失去了相当数量的ETH。

智能合约的整体漏洞

2018年3月,五位计算机科学家合作撰写了一篇题为《大规模发现贪婪、挥霍和自杀的合约》的论文,他们对此进行了研究:

贪婪合约,无限期锁定资金

挥霍合约,将资金随意地泄露给任意用户

自杀合约,可以被任何人杀死

他们在以太坊网络上签订了近100万个(970,898)智能合约。他们发现,其中34200个智能合约容易受到黑客/利用,这意味着在2018年,大约每20个智能合约中就有1个面临风险。他们深入分析了3759份合约,以具体验证它们的代码中存在漏洞,发现3686份合约中的漏洞都在平均10秒内被发现。这太疯狂了!他们最多可以从合约中提出4905以太币——略高于860万美元。该报告还补充说,「此外,区块链目前有6239以太坊(约560万美元)被锁定在死后的合约中,其中313以太坊在「死」后被送到了死合约中。」有很多加密货币卡在失效的合约里。在进行这项研究时,DeFi和其他智能合约占链上活动的比例要低得多。Glassnode于2021年5月6日发布的一份最新报告发现,22.8%的流通ETH被锁定在智能合约中。

现在仍然是每20个智能合约中就有1个容易受到攻击的情况吗?项目是否变得更安全了?或者,随着智能合约对缺乏知识的人来说变得更容易发布,情况可能变得更糟了?即使我们保持1/20的比率,这将意味着大约1%的ETH供应处于脆弱的智能合约中。

这里的要点是,在开始一个项目之前要做调查。尽量不要FOMO。确保你想要投资的项目花时间开发智能合约,确保这个项目不是凭空产生的。许多复制粘贴的代码存在于那里,这总是一个危险信号。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:15ms0-6:912ms