Ang sektor ng NFT ay nakakita ng ilang mga problema mula nang lumitaw ito na nagdulot ng pag-aalala sa maraming tao na ang mga NFT ay hindi kasing ligtas gaya ng naunang naisip. Gayunpaman, ang problema ay hindi nakasalalay sa mga NFT mismo.
Ang mga NFT ay talagang mga matalinong kontrata, at ang mga kontratang ito ay napapailalim sa mga kahinaan. Sa kanilang esensya, ang mga matalinong kontrata ay code lamang, at kung mas kumplikado ang code, mas maraming puwang para sa mga error na lumabas. Siyempre, ang mga developer ay madalas na suklayin ang kanilang code para sa mga error at kahinaan nang paulit-ulit, ngunit kahit na pagkatapos ng malawak na paghahanap - maaari pa ring manatili ang isang depekto at magdulot ng mga problema sa hinaharap, lalo na kung matukoy sila ng mga masasamang aktor.
Ito ang dahilan kung bakit dapat pa ring isagawa ang mga pag-audit sa seguridad, dahil ang code ng mga matalinong kontrata ay nangangailangan ng mas malaking pansin. Pagkatapos, at pagkatapos lamang ang mga matalinong kontrata - at sa ilang lawak, ang mga NFT - ay sapat na ma-secure.
Tingnan natin ang ilan sa mga mas karaniwan ngunit mapanganib pa ring mga depekto na malamang na naroroon sa mga matalinong kontrata:
Mga kahinaan sa pagbebenta ng token ng NFT
Ang unang pagkakataon na kailangang gamitin ng masasamang aktor ang mga kapintasan ng mga matalinong kontrata para maabala ang isang proyekto ng NFT ay sa panahon ng pagbebenta ng token. Isa sa mga pinakakilalang halimbawa ay ang Adidas NFT token sale.
Habang isinasagawa ang pagbebenta, nagawa ng isang attacker na lampasan ang mga limitasyon sa maximum na binili na mga token para sa isang wallet. Bilang resulta, ang hacker ay nakapuntos ng 330 NFT, na permanenteng nakakagambala sa matagumpay na debut NFT na koleksyon ng Adidas na "Into the Metaverse." Ang kailangan lang gawin ng hacker para makamit ito ay alisin ang limitasyon na nagsasabing dalawang NFT lang ang maaaring makuha sa bawat wallet ng Ethereum.
Mga kahinaan sa marketplace
Ang susunod na kapintasan ay hindi nangangahulugang ang mga NFT mismo, ngunit ang mga pamilihan kung saan sila matatagpuan. Ang isang halimbawa nito ay ang OpenSea, ang pinakamalaking NFT marketplace sa mundo. Hindi pa katagal, ang OpenSea ay dumanas ng isang pag-atake kung saan ang nakakasakit na partido ay nakabili ng mga barya sa kanilang lumang presyo.
Ang butas na ito ay nagbigay-daan sa ilang tao na bumili ng mga mahahalagang NFT sa mga presyong malaki sa ilalim ng market value ng mga token. Ang pinakakilalang proyekto na naapektuhan nito ay ang Bored Ape Yacht Club, na may isa sa mga NFT nito (#9991) na binili sa halagang 0.77 ETH, para lamang sa umaatake na ibenta ito sa halagang 84.2 ETH.
Nakalantad na mga pribadong susi
Ang pangatlong problema na gusto kong banggitin ay hindi partikular sa mga NFT. Sa katunayan, naging bahagi na ito ng industriya ng crypto mula nang magkaroon ng industriya ng crypto. Umiikot ito sa ligtas na imbakan ng mga pribadong susi, na ginagamit para sa pag-access ng mga wallet at pagsasagawa ng mga pagbabayad.
Natukoy ng mga hacker ang maraming paraan na maaaring magamit laban sa mga hindi alam na mamumuhunan upang nakawin ang kanilang mga pribadong susi at ma-access ang kanilang mga barya at token. Isa sa mga pinakakaraniwang ginagamit na paraan ay ang phishing. Muli, naiisip ang OpenSea, dahil kamakailan ay dumanas ito ng phishing attack, kung saan naisip ng mga user na nagpapadala sila ng mga transaksyon sa network.
Sa halip, niloko sila ng isang hacker na pirmahan ang data gamit ang MetaMask, at sa tulong ng kanilang lagda, nagawang nakawin ng attacker ang kanilang mga pondo.
Mga pag-atake sa muling pagpasok
Ang isa pang uri ng pag-atake ay kilala bilang re-entrancy attack, at ang isang ito ay may kinalaman sa pinakasikat na pamantayan ng NFT ng OpenZeppelin. Sa esensya, ang pinakasikat na pagpapatupad ng OpenZeppelin ng pamantayan ng NFT ay may function ng callback.
Sa pangkalahatan, ito ay isang function na nilayon upang matulungan ang mga developer na isama ang mga NFT sa mga proyekto, ngunit ang problema ay maaari rin itong magamit sa maling paraan para sa pagsasagawa ng mga pag-atake sa muling pagpasok, sa kondisyon na ang mga developer ng code ay sapat na pabaya upang makalimutang magbigay ng proteksyon laban sa kanila. Isa sa mga pinakabagong halimbawa ng pag-atake na ito ay nangyari noong ika-3 ng Pebrero nang ang isang kontrata ng HypeBeast NFT ay nag-ulat ng isang transaksyon sa pag-atake.
Ang proyekto ay may limitasyon sa kung gaano karaming mga NFT ang maaaring i-mint ng isang account, ngunit ginamit ng mga umaatake ang function ng callback upang i-invoke muli ang function na mintNFT.
NFT scam at alpombra
Maraming mga halimbawa nito, tulad ng Cool Kittens, na nangako sa mga mamumuhunan ng isang electronic token na may cat art, isang purpose-built token na tinatawag na PURR, at membership sa isang DAO. Ang lahat ay karaniwang mga pangako na maraming proyekto ng NFT ang nagawa at naihatid. Ang Cool Kittens, gayunpaman, ay hindi. Tatlong linggo lamang pagkatapos ianunsyo ang koleksyon ng NFT, nagsimula ang pagmimina, at ang mga NFT ay ibinebenta. Ang proyekto ay sumabog, nagbebenta ng higit sa 2,200 NFT sa loob lamang ng mga oras, sa presyong $70 bawat isa.
Ang mga developer ay nakolekta ng $160,000 mula sa isang pandaigdigang madla ng mga mamimili sa crypto, at pagkatapos ay nawala lang sila kasama ang pera. Isa lamang itong halimbawa ng isang bagay na medyo karaniwan sa industriya ng crypto, kaya dapat isaisip ito ng sinumang kalahok sa anumang uri ng token sales at mag-ingat nang husto.
Konklusyon
Ang sektor ng NFT ay nagbibigay ng maraming pagkakataon para sa medyo kapaki-pakinabang na mga pamumuhunan, ngunit maaari rin itong gamitin laban sa mga mamumuhunan sa pamamagitan ng maraming iba't ibang mga kahinaan. Hindi ito palaging nangyayari, dahil kung minsan, ang kapintasan ay maaaring nasa marketplace na nagbebenta sa kanila, mga mamumuhunan na hindi alam kung paano protektahan ang kanilang sarili, o kahit na sa mga developer ng NFT, na gustong manloko sa komunidad at mawala gamit ang kanilang pera .
Ang tanging paraan upang maprotektahan ang mga mamumuhunan mula dito ay para sa mga proyekto na magsagawa ng mga pag-audit ng kanilang mga matalinong kontrata, at para sa mga marketplace na regular na suriin ang kanilang mga system para sa mga bug at mga depekto. Tulad ng para sa mga mamumuhunan mismo, ang tanging bagay na maaari nilang gawin ay mag-ingat at magtrabaho sa pagtuturo sa kanilang sarili sa mga banta na maaaring makaharap nila, at kung ano ang gagawin kung sila ay makaranas ng alinman sa mga ito o iba pang mga isyu.
Kunin ang iyong pang-araw-araw na recap ng Bitcoin, DeFi, NFT at Web3 balita mula sa CryptoSlate
Ito ay libre at maaari kang mag-unsubscribe anumang oras.
Guest post ni Gleb Zykov mula sa HashEx
Sinimulan ni Gleb ang kanyang karera sa software development sa isang research institute, kung saan nakakuha siya ng isang malakas na background sa teknikal at programming, pagbuo ng iba't ibang uri ng mga robot para sa Russian Ministry of Emergency Situations.
Nang maglaon, dinala ni Gleb ang kanyang teknikal na kadalubhasaan sa kumpanya ng mga serbisyo ng IT na GTC-Soft, kung saan nagdisenyo siya ng mga Android application. Lumipat siya upang maging nangungunang developer at pagkatapos, ang CTO ng kumpanya. Sa GTC, pinangunahan ni Gleb ang pagbuo ng maraming serbisyo sa pagsubaybay sa sasakyan at isang serbisyong tulad ng Uber para sa mga premium na taxi. Noong 2017 naging isa si Gleb sa mga co-founder ng HashEx – isang internasyonal na blockchain auditing at consulting company. Hawak ni Gleb ang posisyon ng Chief Technology Officer, na nangunguna sa pagbuo ng mga blockchain solution at smart-contract audit para sa mga kliyente ng kumpanya.
→ Matuto nang higit pa
Kumuha ng isang Gilid sa Crypto Market?
Maging isang miyembro ng CryptoSlate Edge at i-access ang aming eksklusibong komunidad ng Discord, mas eksklusibong nilalaman at pagsusuri.
Pagsusuri sa on-chain
Mga snapshot ng presyo
Higit pang konteksto
Sumali ngayon sa halagang $ 19 / buwan Tuklasin ang lahat ng mga benepisyo
Pinagmulan: https://cryptoslate.com/top-5-nft-smart-contract-vulnerabilities-to-watch-out-for/