NFT:疯狂“出圈”和刷屏之后 Web3.0热潮下的NFT安全如何保证？_WEB3

最近一段时间，Web3.0不断“刷屏”，NFT疯狂“出圈”，有人撸空投，有人搞收藏，有人说，NFT的爆炸性增长正在推动Web3.0的发展。

Web1.0到Web2.0实现了内容的消费者向内容生产者的转变，其本质是进行了一次从物理世界向网络世界的平行时空的大迁徙，当我们畅谈Web3.0的发展时，不得不进一步提到关于区块链，因为区块链的去中心化、去信任和防篡改的特性很好的对标了Web3.0的目标——创造新一代互联网，让每个用户掌握自己的数据、身份和命运。

Web3.0基于区块链而存在，承诺将隐私和数字身份还给用户，同时由于NFT等的应用，实现了新的互动水平。但我们更需要的是Web3.0热潮下NFT的诸多“危险”与“隐患”，最近NFT领域随处可见的“黑客事件”也证明了我们需要将“安全”放在第一位。

近期发生了哪些NFT合约安全事件？

4月21日，NBA的NFT项目合约遭受攻击，攻击者利用了签名未验证，在合约代码中，vDatamemory参数info在传入函数中未进行验证导致签名可复用，攻击者可以通过使用其他人的签名来进行Mint，导致项目方被疯狂“薅羊毛”。

1kx创始合伙人：1kx自去年第三季度以来一直以疯狂的速度进行部署:金色财经报道，投资公司 1kx 创始合伙人 Lasse Clausen 称，在 2021 年和 2022 年初的牛市狂热期间处于观望状态后，1kx 自去年第三季度以来一直以“疯狂”的速度进行部署。Clausen表示，我们真的很喜欢熊市，我们知道现在是非常好的投资时机。1kx的政策是持有其加密货币投资至少三年，鉴于该行业的快速发展，Clausen认为这是一个很好的准则。[2023/2/22 12:22:49]

分析 | 比特币横盘 山寨币的疯狂:金色分析师：过去24小时，比特币最高反弹至3935美元附近回调，最低下探至3800美元止跌，现在3880美元附近横盘震荡，目前各项指标均没有出现明显变化，后期大概率在3800美元至3940美元震荡整理，大部分主流币也是以横盘震荡为主，不过今日大涨的山寨币很多，资金似乎回流到了山寨币上，如果想提前埋伏，可以选择一些1小时或4小时底部出现持续放量的，或者最近有热点有消息发布的币种。[2019/3/9]

而在4月23日，NFT项目Akutar惊现低级漏洞，它的AkuAuction合约由于智能合约本身漏洞，导致11539ETH被锁死在合约中。经成都链安技术团队分析，发现Akutar项目的智能合约包含2个漏洞：

第一个合约漏洞在processRefunds中，设计者根据refundProgress计数器进行循环退款，而如果有攻击者此时在fallback中进行revert则会导致后面的人都无法进行退款，这个漏洞被人在链上证明但没有进行攻击利用。

声音 | 中国信息研究院区块链主管：ICO融资太疯狂不规范 行业充满了投机欲望:根据新华网报道，中国信息通信研究院高级工程师、区块链主管卿苏德博士向记者爆料：“疯狂时，ICO一周内就可完成集资，而正规集资要经过种子轮、天使轮、Pre-A、A、B……等规范严格的多轮融资才能获得。”同时表示：“2017年底的发币狂潮就是与现实结合的幻想，唤醒了很多人投机的欲望，利润越大人越会失去理性，很多投资的人根本不知道比特币、区块链是什么，也不知道自己买的项目是做什么的。”[2018/8/21]

第二个漏洞在claimProjectFunds中，require语句的totalBids变量应该是bidIndex，这个漏洞使得该判断条件永远失败，导致无法执行后续的提款操作。最终，导致项目方11539ETH(价值约3400万美元)被锁定无法提取。

电影《疯狂的比特币2》已经准备启动:环球网记者从制片方了解到第一部虽然还没上线，但是《疯狂的比特币2》却已经准备启动，剧本正由著名作家与编剧团队研究商讨中，制片方表示第二部影片会动用诸多一线大咖演员参与，也邀请网红鲜肉加盟。[2018/4/11]

可见关注NFT合约风险，变得越来越紧迫。

NFT合约问题包括哪些？

根据NFTSCAN数据显示，目前全球NFT项目已接近七万个，而且数据还在持续增长中。

比特币为何如此疯狂：答案也许在这1000多个账户里:就在上周四晚到今天，几天时间里比特币的疯狂再次呈现：先是价格突破1.5万美元，就也就是突破10万元人民币！紧接着，比特币的价格又跌破13000美元关口。新进的比特币投资者必须警惕：这1000多人或许具有影响比特币整体的定价能力。芝加哥大学基金会前任投资组合经理Ari Paul认为，和任何资产类别一样，大型个人持有者和大型机构持有人可以合谋操纵价格。还有一种可能，这些早期比特币投资者已经彼此认识，因为他们是在早期挖掘加密货币比较容易时进入这个市场，当时“挖矿”行业和币圈的圈子很小。[2017/12/11]

数据来源：NFTSCAN

NFT作为Web3.0的底座，它的安全问题对行业发展同样重要，为了护航Web3.0的安全生态，成都链安通过智能合约形式化验证工具链必验对上千个NFT项目进行漏洞扫描，发现NFT常见的合约问题还包括以下几类：

业务逻辑相关问题：

此类问题可能直接导致合约的业务逻辑出错。

漏洞描述：chapterAuctionMinted的值永远为初始值，但是在此处使用的判断条件中，使用了该值进行条件检查。如果在开发期间使用扫描后，开发者可根据扫描结果判断是否是相关逻辑缺失，亦或是冗余代码。

漏洞描述：未检测返回值。在NFT项目中，经常存在有偿铸币的功能，调用者需要将作为铸币手续费的ERC20代币发送到NFT铸币合约中，然后NFT铸币合约为其铸造对应数量的NFT代币。但是部分ERC20合约存在假充值的问题，即转账失败不抛出异常而是返回false，这样就会导致一个问题，攻击者可以利用这点，在未支付手续费的情况下，铸造任意数量的NFT。开发者应根据VaaS扫描结果的建议，检查transferFrom操作的返回值或者使用safeTransferFrom函数进行ERC20代币转账。

代码规范相关问题

此类问题可能不会直接造成业务逻辑出错，但是会影响代码的可读性，造成合约调用时有多余的gas消耗等。同时不规范的代码也容易导致编写时逻辑混乱，有隐藏的逻辑错误的概率更高。

漏洞描述：此处循环的结束条件为curr>=0,而curr为uint导致curr>=0恒满足。此处会导致循环无法正常结束。在扫描中会对这类结果为定值的条件进行告警，用户可以通过提示确认此处逻辑，对条件进行删除或修改。

漏洞描述：此处event中将string类型的数据标记了indexed，该写法会导致在事件结果中无法直接获得对应的string结果。建议用户参考的提示，仅使用indexed修饰固定长度的变量。

研究发现，大多数的NFT合约都没有进行过专业的安全审计，这就存在很大的安全隐患，容易导致攻击事件的发生，造成资产的损失。所以NFT智能合约开发者应具备基本的安全开发意识，了解智能合约开发应注意的安全问题；此外，在合约设计和实现时，注意代码实现的正确性。我们建议开发完成后，可使用对项目进行安全检测。项目上线前，可选择安全审计，规避安全风险。

安全，是区块链技术能够得以长足发展的重要保证，守护Web3.0的安全也变得愈发重要。今天我们所讲的业务逻辑相关问题和代码规范性相关问题，也是智能合约里面常见的问题类型?，后续我们将继续推出NFT相关安全文章，请大家持续关注我们

标签：NFT比特币WEBWEB3FYZNFT泰达币和比特币一样吗CWEB币web3币有哪些

XMR热门资讯