NFT:疯狂“出圈”和刷屏之后 Web3.0热潮下的NFT安全如何保证？_Web 3 Development

最近一段时间，Web3.0不断“刷屏”，NFT疯狂“出圈”，有人撸空投，有人搞收藏，有人说，NFT的爆炸性增长正在推动Web 3.0的发展。

Web1.0 到 Web2.0 实现了内容的消费者向内容生产者的转变，其本质是进行了一次从物理世界向网络世界的平行时空的大迁徙，当我们畅谈 Web3.0 的发展时，不得不进一步提到关于区块链，因为区块链的去中心化、去信任和防篡改的特性很好的对标了 Web3.0 的目标——创造新一代互联网，让每个用户掌握自己的数据、身份和命运。

Web3.0基于区块链而存在，承诺将隐私和数字身份还给用户，同时由于NFT等的应用，实现了新的互动水平。但我们更需要的是Web3.0热潮下NFT的诸多“危险”与“隐患”，最近NFT领域随处可见的“黑客事件”也证明了我们需要将“安全”放在第一位。

动态 | 彭博报道称交易机器人正在加密交易所疯狂运行，比特币隔夜一度“闻讯下跌”:据彭博今日凌晨报道称，在部分数字货币交易所，市场操纵问题极其猖獗，交易算法打造的机器人通过相对于普通用户的优势，以牺牲用户利益为代价谋取暴利。报道援引康奈尔大学科技学院Philip Daian、Ari Juels等人的研究报告称，在去中心化交易所上，由于算法交易更加直接且方便，一些专门打造的套利交易机器人便能够利用相对于普通用户的优势，直接参与交易并从中谋利。Ari Juels表示，尽管去中心化交易所的交易量在整个数字货币市场中只占很小的一部分，但是用户使用量预计将持续增长。此外，在中心化交易所中，这类行为可能也一样猖獗。在上周的一场演讲中，Ari Juels曾表示：从去中心化交易所呈现的情况来看，涉及的交易金额可能以十亿美元计。据行情数据显示，在这一文章发布后不久，主流币隔夜出现过一波短暂回调，BTC一度跌穿5000USDT关口，不过目前价格已回升至5072USDT附近。[2019/4/16]

4月21日，NBA的NFT项目合约遭受攻击，攻击者利用了签名未验证，在合约代码中，vData memory参数info在传入函数中未进行验证导致签名可复用，攻击者可以通过使用其他人的签名来进行Mint，导致项目方被疯狂“薅羊毛”。

动态 | Mac窃密软件肆虐蔓延，疯狂盗窃加密货币:据降维安全实验室（johnwick.io)了解，一款基于OSX.DarthMiner开发的恶意软件正在肆虐蔓延，该恶意软件可以窃取受害者访问的主流加密货币交易和加密货币钱包服务网站相关的浏览器Cookie、Chrome中保存的密码以及手机备份文件中提取的手机短信。据了解攻击者可以配合窃取的Cookie以及手机短信通过网站的多因子认证，一旦成功攻击者即可获取受害者的交易账户和钱包的完全访问权限以及窃取账户资金，降维安全实验室开发的奥罗态势感知系统可帮助交易所基于大数据构建风控系统，对各种业务进行最终决策，可抵御此类攻击，更多详细细节和缓解措施请联系降维安全实验室。[2019/2/26]

EOS最富地址排行榜第二位疯狂“吸筹”：两日买入约2亿元EOS:据etherscan.io数据显示，截至目前，EOS最富地址排行榜第二位地址近两日共收了2090148.055个EOS，价值约2亿元人民币。目前该地址共持有约5600万枚EOS，总价值7.48亿美元，占EOS总市值的5.6%。另一个排名25位的大户地址近两日也“吸筹”约1亿人民币。[2018/5/17]

而在4月23日，NFT项目Akutar惊现低级漏洞，它的AkuAuction合约由于智能合约本身漏洞，导致11539ETH（价值约3400万美元）被锁死在合约中。经成都链安技术团队分析，发现Akutar项目的智能合约包含2个漏洞：

区块链媒体跑步入场：资本疯狂加持:21世纪经济今日报道称，在区块链的行业风口之下，区块链媒体平台已经成为炙手可热的细分投资领域，近期密集获得资本市场的关注。3月9日，由游戏陀螺创始人余文锋发起创办的区块链内容平台陀螺财经宣布获得700万天使轮融资。3月6日，蓝港互动创始人王峰创办的区块链门户火星财经宣布获得A轮融资，投资方包括IDG资本、泛城资本、明势资本等。该项目在上线不到一个月的情况下，估值已经达到1.5亿元，但具体融资金额并未透露。有统计数据显示，一个月之内，行业中已涌现50家以上区块链媒体。在微信公众平台上，名字中带有“链”、“币”的公众号都已超过百家。[2018/3/10]

第一个合约漏洞在processRefunds中，设计者根据refundProgress计数器进行循环退款，而如果有攻击者此时在fallback中进行revert则会导致后面的人都无法进行退款，这个漏洞被人在链上证明但没有进行攻击利用。

韩国比特币交易所疯狂从传统银行挖人才:韩国比特币交易所开始“招聘狂欢”，疯狂从传统银行挖人才。已有450名员工的Bithumb表示将再扩招400名全职员工，其中300人进入客服中心，100人在总部；Korbit也要增员60-100人。工作岗位主要涉及IT、海外营销和法律事务，员工可以获得加班补贴，股票期权和奖励金以及交通费，食品津贴，无限购书积分，健身俱乐部会员资格，甚至还有口腔医疗和按摩服务。[2018/1/7]

第二个漏洞在claimProjectFunds中，require语句（refundProgress > = totalBids）的totalBids变量应该是bidIndex，这个漏洞使得该判断条件永远失败，导致无法执行后续的提款操作。最终，导致项目方11539ETH(价值约3400万美元)被锁定无法提取。

可见关注NFT合约风险，变得越来越紧迫。

根据NFTSCAN数据显示，目前全球NFT项目已接近七万个，而且数据还在持续增长中。

数据来源：NFTSCAN（统计时间：2022.4.25 18:00）

NFT作为Web3.0的底座，它的安全问题对行业发展同样重要，为了护航Web3.0的安全生态，成都链安通过智能合约形式化验证工具链必验对上千个NFT项目进行漏洞扫描，发现NFT常见的合约问题还包括以下几类：

业务逻辑相关问题：

此类问题可能直接导致合约的业务逻辑出错。

漏洞描述：chapterAuctionMinted的值永远为初始值，但是在此处使用的判断条件中，使用了该值进行条件检查。如果在开发期间使用[链必验]扫描后，开发者可根据扫描结果判断是否是相关逻辑缺失（可能导致NFT超量发放等业务逻辑安全问题），亦或是冗余代码。

漏洞描述：未检测返回值。在NFT项目中，经常存在有偿铸币的功能，调用者需要将作为铸币手续费的ERC20代币发送到NFT铸币合约中，然后NFT铸币合约为其铸造对应数量的NFT代币。但是部分ERC20合约存在假充值的问题，即转账失败不抛出异常而是返回false，这样就会导致一个问题，攻击者可以利用这点，在未支付手续费的情况下，铸造任意数量的NFT。开发者应根据VaaS扫描结果的建议，检查transferFrom操作的返回值或者使用safeTransferFrom函数进行ERC20代币转账。

代码规范相关问题

此类问题可能不会直接造成业务逻辑出错，但是会影响代码的可读性，造成合约调用时有多余的gas消耗等。同时不规范的代码也容易导致编写时逻辑混乱，有隐藏的逻辑错误的概率更高。

漏洞描述：此处循环的结束条件为curr>=0,而curr为uint导致curr>=0恒满足。此处会导致循环无法正常结束。[链必验]在扫描中会对这类结果为定值的条件进行告警，用户可以通过提示确认此处逻辑，对条件进行删除或修改。

漏洞描述：此处event中将string类型的数据标记了indexed，该写法会导致在事件结果中无法直接获得对应的string结果。建议用户参考[链必验]的提示，仅使用indexed修饰固定长度的变量。

研究发现，大多数的NFT合约都没有进行过专业的安全审计，这就存在很大的安全隐患，容易导致攻击事件的发生，造成资产的损失。所以NFT智能合约开发者应具备基本的安全开发意识，了解智能合约开发应注意的安全问题；此外，在合约设计和实现时，注意代码实现的正确性。我们建议开发完成后，可使用[链必验]对项目进行安全检测。项目上线前，可选择安全审计，规避安全风险。

安全，是区块链技术能够得以长足发展的重要保证，守护Web3.0的安全也变得愈发重要。今天我们所讲的业务逻辑相关问题和代码规范性相关问题，也是智能合约里面常见的问题类型?，后续我们将继续推出NFT相关安全文章，请大家持续关注我们

标签：NFTWEB区块链WEB3HDPUNK Vault (NFTX)Web 3 Development区块链dapp开发语言web3游戏有哪些

火币APP热门资讯