最近一段时间,Web3.0不断“刷屏”,NFT疯狂“出圈”,有人撸空投,有人搞收藏,有人说,NFT的爆炸性增长正在推动Web3.0的发展。
Web1.0到Web2.0实现了内容的消费者向内容生产者的转变,其本质是进行了一次从物理世界向网络世界的平行时空的大迁徙,当我们畅谈Web3.0的发展时,不得不进一步提到关于区块链,因为区块链的去中心化、去信任和防篡改的特性很好的对标了Web3.0的目标——创造新一代互联网,让每个用户掌握自己的数据、身份和命运。
Web3.0基于区块链而存在,承诺将隐私和数字身份还给用户,同时由于NFT等的应用,实现了新的互动水平。但我们更需要的是Web3.0热潮下NFT的诸多“危险”与“隐患”,最近NFT领域随处可见的“黑客事件”也证明了我们需要将“安全”放在第一位。
Uniswap创始人:竞争性流动性挖矿AMM导致Gas费疯狂上涨:Uniswap创始人Hayden Adams发推称,导致Gas费疯狂上涨的原因:竞争性流动性挖矿自动做市商模式(AMM)创造大量套利机会,在区块空间有限的情况下,用户并不能够总获胜,而且Gas费比滑点加用户费加起来还要高。[2021/2/7 19:08:27]
近期发生了哪些NFT合约安全事件?
4月21日,NBA的NFT项目合约遭受攻击,攻击者利用了签名未验证,在合约代码中,vDatamemory参数info在传入函数中未进行验证导致签名可复用,攻击者可以通过使用其他人的签名来进行Mint,导致项目方被疯狂“薅羊毛”。
韦氏评级:DeFi的疯狂终会停止 冷静的头脑将会占据上风:加密货币评级机构韦氏评级(Weiss Ratings)发推称:“DeFi会成长为加密市场整体的一部分。疯狂的拉盘将会停止,更冷静的头脑将会占据上风。随着ICOs的发展和演变,我们看到了这种发展历程,DeFi也将效仿。”[2020/6/30]
而在4月23日,NFT项目Akutar惊现低级漏洞,它的AkuAuction合约由于智能合约本身漏洞,导致11539ETH被锁死在合约中。经成都链安技术团队分析,发现Akutar项目的智能合约包含2个漏洞:
第一个合约漏洞在processRefunds中,设计者根据refundProgress计数器进行循环退款,而如果有攻击者此时在fallback中进行revert则会导致后面的人都无法进行退款,这个漏洞被人在链上证明但没有进行攻击利用。
声音 | TradingView总经理:加密货币已度过了疯狂交易阶段:金色财经报道,TradingView总经理Pierce Crosby表示,2017-2018年的市场高度波动是Pet.com的“代表”,他将该阶段称为“疯狂的交易狂热”。根据Crosby的说法,这种狂热可能是山寨币的“复兴”。仍处于萌芽阶段的加密货币被吹捧为一场革命和游戏规则的改变者。Crosby还谈到过去几年加密交易领域的成熟,例如Coinbase等知名平台提供多样化投资组合。据悉,在线宠物店Pets.com是最广为人知的互联网泡沫之一。在2000年通过IPO筹集了8200万美元后不久,该公司就资金告罄,成为最引人注目的失败案例之一。[2019/12/24]
疯狂的比特币矿机:一天一个价:据第一财经消息,近期随着比特币价格总体暴涨,比特币矿机已经抢手到价格要按交易当天来计算,甚至有黄牛党坐地起价。四川成都一位比特币矿工称,“前几个月一台S9(蚂蚁矿机)还1万多,12月直接飙到近3万,一天一个价。” 同时,火爆行情催生了几个快公司,有的已经在准备新三板挂牌或上市,从制造矿机到托管、代运营,整条比特币产业链在中国已经相当完整。[2018/1/23]
第二个漏洞在claimProjectFunds中,require语句的totalBids变量应该是bidIndex,这个漏洞使得该判断条件永远失败,导致无法执行后续的提款操作。最终,导致项目方11539ETH(价值约3400万美元)被锁定无法提取。
比特币疯狂上涨的幕后推手是日本人:据外媒报道,德银证券全球金融策略师Masao Muraki在周四发表的研报中表示,最近比特币疯狂大涨的主导力量可能是日本人。“我们认为,零售投资者已从杠杆外汇交易转战杠杆加密货币交易。报告显示,那些从事杠杆外汇交易的30多岁和40多岁的日本男性(或者以前从事这一行业但已收手的人。[2017/12/15]
可见关注NFT合约风险,变得越来越紧迫。
NFT合约问题包括哪些?
根据NFTSCAN数据显示,目前全球NFT项目已接近七万个,而且数据还在持续增长中。
数据来源:NFTSCAN
NFT作为Web3.0的底座,它的安全问题对行业发展同样重要,为了护航Web3.0的安全生态,成都链安通过智能合约形式化验证工具链必验对上千个NFT项目进行漏洞扫描,发现NFT常见的合约问题还包括以下几类:
业务逻辑相关问题:
此类问题可能直接导致合约的业务逻辑出错。
漏洞描述:chapterAuctionMinted的值永远为初始值,但是在此处使用的判断条件中,使用了该值进行条件检查。如果在开发期间使用扫描后,开发者可根据扫描结果判断是否是相关逻辑缺失,亦或是冗余代码。
漏洞描述:未检测返回值。在NFT项目中,经常存在有偿铸币的功能,调用者需要将作为铸币手续费的ERC20代币发送到NFT铸币合约中,然后NFT铸币合约为其铸造对应数量的NFT代币。但是部分ERC20合约存在假充值的问题,即转账失败不抛出异常而是返回false,这样就会导致一个问题,攻击者可以利用这点,在未支付手续费的情况下,铸造任意数量的NFT。开发者应根据VaaS扫描结果的建议,检查transferFrom操作的返回值或者使用safeTransferFrom函数进行ERC20代币转账。
代码规范相关问题
此类问题可能不会直接造成业务逻辑出错,但是会影响代码的可读性,造成合约调用时有多余的gas消耗等。同时不规范的代码也容易导致编写时逻辑混乱,有隐藏的逻辑错误的概率更高。
漏洞描述:此处循环的结束条件为curr>=0,而curr为uint导致curr>=0恒满足。此处会导致循环无法正常结束。在扫描中会对这类结果为定值的条件进行告警,用户可以通过提示确认此处逻辑,对条件进行删除或修改。
漏洞描述:此处event中将string类型的数据标记了indexed,该写法会导致在事件结果中无法直接获得对应的string结果。建议用户参考的提示,仅使用indexed修饰固定长度的变量。
研究发现,大多数的NFT合约都没有进行过专业的安全审计,这就存在很大的安全隐患,容易导致攻击事件的发生,造成资产的损失。所以NFT智能合约开发者应具备基本的安全开发意识,了解智能合约开发应注意的安全问题;此外,在合约设计和实现时,注意代码实现的正确性。我们建议开发完成后,可使用对项目进行安全检测。项目上线前,可选择安全审计,规避安全风险。
安全,是区块链技术能够得以长足发展的重要保证,守护Web3.0的安全也变得愈发重要。今天我们所讲的业务逻辑相关问题和代码规范性相关问题,也是智能合约里面常见的问题类型?,后续我们将继续推出NFT相关安全文章,请大家持续关注我们
中证网讯中国人民银行支付结算司司长温信祥4月14日在国新办新闻发布会上表示,要加强对虚拟货币等新型领域风险防范,全方位堵截犯罪资金.
Web3社交协议Linkkey计划为ENS用户进行空投,引爆了市场对于ENS交易和注册的热度。原文标题:《让大家狂刷ENS的Linkkey是什么?》昨日下午推特和群里突然炒起了ENS,什么「3位.
美国社交媒体公司推特周一宣布,该公司董事会已接受亿万富翁特斯拉创始人埃隆?马斯克提出的收购交易,以及接受将推特私有化的提议.
DeFi数据 1.DeFi代币总市值:1215.06亿美元 DeFi总市值数据来源:coingecko2.过去24小时去中心化交易所的交易量:23.
今年1月下旬,美国证券交易委员会主席根斯勒在记者会上宣告,加密货币交易所2022年将面临SEC的更多监督,喊话加密资产交易平台在未来几个月内月采取措施,以接受金融监管机构更直接的监管.
NFT、元宇宙的火热还没过去,Web3.0又被推到了人们的面前。有人说,兼具去中心化和交互性的Web3,正在尝试打造一个全新的互联网模式.