最近一段時間,Web3.0不斷“刷屏”,NFT瘋狂“出圈”,有人擼空投,有人搞收藏,有人說,NFT的爆炸性增長正在推動Web3.0的發展。
Web1.0到Web2.0實現了內容的消費者向內容生產者的轉變,其本質是進行了一次從物理世界向網絡世界的平行時空的大遷徙,當我們暢談Web3.0的發展時,不得不進一步提到關于區塊鏈,因為區塊鏈的去中心化、去信任和防篡改的特性很好的對標了Web3.0的目標——創造新一代互聯網,讓每個用戶掌握自己的數據、身份和命運。
Web3.0基于區塊鏈而存在,承諾將隱私和數字身份還給用戶,同時由于NFT等的應用,實現了新的互動水平。但我們更需要的是Web3.0熱潮下NFT的諸多“危險”與“隱患”,最近NFT領域隨處可見的“黑客事件”也證明了我們需要將“安全”放在第一位。
動態 | 加密網站評選2019五大瘋狂事件 孫宇晨巴菲特午餐等入選:加密網站Bitcoinist近日評選出了2019五大加密領域的“瘋狂事件”,分別為:1、孫宇晨與巴菲特的加密午餐;2、Craig Wright的“生銹的釘書釘和咖啡漬”,(指澳本聰證明其為中本聰的證據:比特幣白皮書舊版本上面留有他的咖啡漬以及生銹的釘書釘);3、TRON特斯拉贈品災難(指孫宇晨“抽獎送特斯拉”的活動或存在作弊行為);4、加密貨幣交易所Poloniex退市DigiByte;5、Binance放棄了BTT。[2019/12/26]
近期發生了哪些NFT合約安全事件?
4月21日,NBA的NFT項目合約遭受攻擊,攻擊者利用了簽名未驗證,在合約代碼中,vDatamemory參數info在傳入函數中未進行驗證導致簽名可復用,攻擊者可以通過使用其他人的簽名來進行Mint,導致項目方被瘋狂“薅羊毛”。
分析 | 比特幣橫盤 山寨幣的瘋狂:金色分析師:過去24小時,比特幣最高反彈至3935美元附近回調,最低下探至3800美元止跌,現在3880美元附近橫盤震蕩,目前各項指標均沒有出現明顯變化,后期大概率在3800美元至3940美元震蕩整理,大部分主流幣也是以橫盤震蕩為主,不過今日大漲的山寨幣很多,資金似乎回流到了山寨幣上,如果想提前埋伏,可以選擇一些1小時或4小時底部出現持續放量的,或者最近有熱點有消息發布的幣種。[2019/3/9]
木馬病正在瘋狂攻擊安卓手機數字貨幣交易所APP:全球知名IT安全公司Quick Heal旗下安全實驗室Security Labs發現了一款安卓銀行木馬病Android.banker.A2f8a,正在攻擊全球232個移動銀行和數字貨幣交易所APP,受影響的銀行有SBI, HDFC, ICICI, IDBI和Axis,受影響的數字貨幣交易所包括Bitcoinium, Bitfinex, Bitcoin Ticker Widget和Bitcoin Wallet。[2018/1/7]
而在4月23日,NFT項目Akutar驚現低級漏洞,它的AkuAuction合約由于智能合約本身漏洞,導致11539ETH被鎖死在合約中。經成都鏈安技術團隊分析,發現Akutar項目的智能合約包含2個漏洞:
第一個合約漏洞在processRefunds中,設計者根據refundProgress計數器進行循環退款,而如果有攻擊者此時在fallback中進行revert則會導致后面的人都無法進行退款,這個漏洞被人在鏈上證明但沒有進行攻擊利用。
DataTrek Research聯合創始人:比特幣2018年可能繼續瘋狂波動:據CNBC報道稱,華爾街一位最早跟蹤比特幣的分析師表示,比特幣2018年可能繼續瘋狂波動,最終將以較目前價格小幅下跌結束。DataTrek Research聯合創始人Nick Colas關注比特幣走勢至少已有4年。展望2018年,他認為這種資產將出現更多波動。預計2018年比特幣交易區間在6500-22000美元之間,估值中位14035美元接近當前比特幣價格水平,說明這一估值較為準確。[2017/12/29]
第二個漏洞在claimProjectFunds中,require語句的totalBids變量應該是bidIndex,這個漏洞使得該判斷條件永遠失敗,導致無法執行后續的提款操作。最終,導致項目方11539ETH(價值約3400萬美元)被鎖定無法提取。
圣克拉拉大學金融學教授:期貨合約上線后 數字貨幣的瘋狂漲勢或被“扼殺”:美國財經網站MarketWatch報道,圣克拉拉大學金融學教授奧圖亞·沙林(Atulya Sarin)近日撰文稱,其比特幣期貨合約正式上線以后,這種加密數字貨幣的價格大幅上漲走勢可能會被“扼殺”。沙林表示,由主流交易所推出的這些期貨合約將給比特幣市場帶來影響重大:比特幣的合法地位因此而得到確立,而且無論對散戶投資者還是機構投資者來說,獲得對比特幣的敞口的程序都被大大簡化了。比特幣交易即將進入一個未來維度。[2017/12/9]
可見關注NFT合約風險,變得越來越緊迫。
NFT合約問題包括哪些?
根據NFTSCAN數據顯示,目前全球NFT項目已接近七萬個,而且數據還在持續增長中。
數據來源:NFTSCAN
NFT作為Web3.0的底座,它的安全問題對行業發展同樣重要,為了護航Web3.0的安全生態,成都鏈安通過智能合約形式化驗證工具鏈必驗對上千個NFT項目進行漏洞掃描,發現NFT常見的合約問題還包括以下幾類:
業務邏輯相關問題:
此類問題可能直接導致合約的業務邏輯出錯。
漏洞描述:chapterAuctionMinted的值永遠為初始值,但是在此處使用的判斷條件中,使用了該值進行條件檢查。如果在開發期間使用掃描后,開發者可根據掃描結果判斷是否是相關邏輯缺失,亦或是冗余代碼。
漏洞描述:未檢測返回值。在NFT項目中,經常存在有償鑄幣的功能,調用者需要將作為鑄幣手續費的ERC20代幣發送到NFT鑄幣合約中,然后NFT鑄幣合約為其鑄造對應數量的NFT代幣。但是部分ERC20合約存在假充值的問題,即轉賬失敗不拋出異常而是返回false,這樣就會導致一個問題,攻擊者可以利用這點,在未支付手續費的情況下,鑄造任意數量的NFT。開發者應根據VaaS掃描結果的建議,檢查transferFrom操作的返回值或者使用safeTransferFrom函數進行ERC20代幣轉賬。
代碼規范相關問題
此類問題可能不會直接造成業務邏輯出錯,但是會影響代碼的可讀性,造成合約調用時有多余的gas消耗等。同時不規范的代碼也容易導致編寫時邏輯混亂,有隱藏的邏輯錯誤的概率更高。
漏洞描述:此處循環的結束條件為curr>=0,而curr為uint導致curr>=0恒滿足。此處會導致循環無法正常結束。在掃描中會對這類結果為定值的條件進行告警,用戶可以通過提示確認此處邏輯,對條件進行刪除或修改。
漏洞描述:此處event中將string類型的數據標記了indexed,該寫法會導致在事件結果中無法直接獲得對應的string結果。建議用戶參考的提示,僅使用indexed修飾固定長度的變量。
研究發現,大多數的NFT合約都沒有進行過專業的安全審計,這就存在很大的安全隱患,容易導致攻擊事件的發生,造成資產的損失。所以NFT智能合約開發者應具備基本的安全開發意識,了解智能合約開發應注意的安全問題;此外,在合約設計和實現時,注意代碼實現的正確性。我們建議開發完成后,可使用對項目進行安全檢測。項目上線前,可選擇安全審計,規避安全風險。
安全,是區塊鏈技術能夠得以長足發展的重要保證,守護Web3.0的安全也變得愈發重要。今天我們所講的業務邏輯相關問題和代碼規范性相關問題,也是智能合約里面常見的問題類型?,后續我們將繼續推出NFT相關安全文章,請大家持續關注我們
Tags:NFT比特幣WEBWEB3I will poop it NFT比特幣發行量多少WeBlockweb3游戲邊玩邊賺
Web3網絡效應將需要一個全新的劇本。在過去的十年里,網絡效應推動了Web2平臺的崛起,也奠定了其主導地位,同時激發了建設者和投資者的想象力.
1900/1/1 0:00:00THORChain的應用背景跨鏈交易一直是Crypto領域的一大痛點,目前大部分DEX提供針對跨鏈財產進行包裝交易,例如以太坊上的WBTC.
1900/1/1 0:00:00跨鏈dApp的新時代已經到來!今天我們正式推出Celer消息跨鏈框架主網。?利用Celer消息跨鏈SDK,開發者構建的跨鏈原生dApp將具有高效的流動性利用率、連貫的應用邏輯、共享的狀態.
1900/1/1 0:00:00周三,PayPal的首席執行官DanSchulman在公司季度財報電話會議上強調,數字錢包將在這家數字支付公司的未來增長中發揮關鍵作用。Schulman表示:“我們需要在數字錢包上加倍努力.
1900/1/1 0:00:00.details.details-contp,p{word-break:normal;text-align:unset}pimg{text-align:center!important}Roge.
1900/1/1 0:00:00?22日,我省首個數字藏品規范化交易平臺——虛獼數藏上線。這是浙江數據要素市場化在《浙江省公共數據條例》施行后邁出的第一步.
1900/1/1 0:00:00