NFT 安全嗎：回顧 CryptoPunks、Meebits 歷史上的合約漏洞_NFT:BIT

隨著日本開放NFT業務平臺，韓國三大娛樂公司之一的JYP公司將目光轉向NFT市場，NFT越來越受普通人的關注。

試想日本動漫，韓流涌入到NFT市場，其爆發力和潛力該有多大？

但是NFT和任何其他DeFi一樣，都是由易受攻擊的智能合約組成，因此NFT的安全現在也備受關注。本片從以往的NFT出現的一些事故來闡述NFT智能合約的故事。

NFT一個不太突出的方面是，它們是建立在智能合約之上的，而智能合約可以被利用、被破壞和被黑客攻擊。與任何具有不完美智能合約的典型DeFi項目類似，NFT智能合約也可能存在導致不利結果的漏洞。隨著我們討論歷史和一些導致資金損失的不幸事故，我們將回顧人們在過去幾年里利用NFT合約所做的事情。

Taho錢包推出NFT畫廊體驗功能:金色財經報道，Taho錢包推出NFT畫廊體驗功能，用戶可以跨網絡和賬戶訪問用戶所有的NFT；直接在錢包中查看所有NFT的信息，例如底價、描述和特征；通過只讀模式查看NFT，無需導入助記詞，還可以通過只讀模式查看其他帳戶；使用大量選項來個性化觀看體驗，以篩選NFT收藏。NFT現在也可以在Portfolio選項卡中的所有賬戶 + 網絡的總余額中顯示，讓用戶更直觀的管理NFT資產。[2023/4/12 13:57:34]

CryptoPunks

CryptoPunks可以說是迄今為止最受歡迎的NFT項目，在2017年推出后，其智能合約中出現了一個有影響的漏洞。當所有1萬名Punks被賣出并進入二級市場后，發現了一個可能發生銷售但未收到實際付款的錯誤。

Aptos 生態錢包 Pontem 公布 Pontemite NFT 白名單地址:金色財經報道，Aptos 生態 DEX 和錢包應用 Pontem Network 發推表示，Pontemite mint-to-earn NFT 的白名單現已上線，隨機選擇了 1,000 個符合條件的地址。前 1,000 個地址有 1 小時鑄造時間，然后是接下來的 1,000 個，依此類推，直到鑄造完所有 NFT。

此前報道，Pontem Network 昨日表示，正在考慮是否有必要發行代幣，以及如果發行代幣，如何將代幣效用與生態系統融為一體。[2022/11/2 12:07:23]

NFT項目Meebits 24小時交易量超330萬美元，漲幅達426.19%:3月11日，據 OpenSea 數據顯示，NFT 項目 Meebits 24 小時交易量達 1310.89 ETH（約合 330 萬美元），漲幅達 426.19%，7 日漲幅達 603.37%。[2022/3/11 13:50:44]

代碼中的問題歸結為一行——它沒有經過足夠的測試。@0xfoobar后來在Twitter上發布了一個帖子，詳細解釋了這個bug。

CryptoPunks的創建者LarvaLabs最終以一份新的、更新的合約重新啟動了該項目。V1朋克是最初合約的一部分，直到CryptoPunksV1的ERC-721封裝被發布，這也被稱為「經典朋克」。

可口可樂NFT戰利品箱已上線OpenSea，目前出價2WETH:可口可樂NFT戰利品箱已上線OpenSea，目前出價2WETH（約合4801美元）。拍賣將于北京時間8月3日4:00結束。拍賣所得將全部捐贈給國際特殊奧林匹克委員會。[2021/7/30 1:24:38]

Meebits

在推出CryptoPunks多年后，LarvaLabs又推出了一個名為Meebits的后續項目。所有Meebits都帶有隨機特征。然而，在其啟動時，一些用戶想出了如何欺騙系統和重新滾動特征，以獲得他們想要的特征。

如何?Meebits項目在智能合約中包含一個存檔文件，顯示每個Meebit代幣ID的特征。用戶可以啟動Meebit的鑄造，如果他們通過比較特征文件發現代幣并不罕見，就可以取消它。一位用戶充分利用了這一點，并在Twitter和Discord上公開記錄了他的成功。這個用戶是「0xNietzsche」。

IOST鏈上文藝復興NFT交易平臺公布2021—2022年路線圖:據IOST官方消息，其鏈上多鏈聚合型NFT交易平臺今日公布2021至2022年路線圖，從產品升級與市場拓展層面詳述了接下來的發展方向。

2021年Q3&Q4，在產品升級層面文藝復興NFT交易平臺將上線文藝復興平臺 v2.0 版本并完成移動端適配；支持盲盒新玩法；新增多種拍賣方式；支持NFT轉賬、導入、批量出售、批量下架功能；支持鑄造、交易更多種類NFT；完成ETH公鏈的對接與開發；支持MetaMask、TokenPocket等錢包。在市場拓展層面，將在全球范圍內簽約合作3家頂級藝術機構、5位一線藝術家、20名優質藝術家，同時拓展日本、韓國市場并與2個IP達成合作。

2022年Q1&Q2，在產品升級層面將上線NFT&DeFi DAO 系統；支持抵押NFT挖礦并提供流動性挖礦方案；支持所有類型NFT的交易與拍賣；支持競價排名以及NFT空投；與BSC、HECO等公鏈完成對接；支持TrustWallet、Huobi Wallet等錢包。在市場拓展層面，將全球范圍內簽約合作5家頭部藝術機構、2家頂級拍賣行、7位一線藝術家、40名優質藝術家，同時拓展歐洲市場并與2個頂級IP達成合作。

此前，IOST生態項目EMOGI Network抽調精英成員打造多鏈聚合型NFT交易平臺，首發IOST公鏈，定于6月下旬上線，平臺分紅池首期將注入1.2億LOL。同時首投2000萬美元成立REVIVAL NFT基金，并推出“美第奇”NFT扶持計劃，以扶持新生代頂流藝術家并促進全球范圍內高價值的NFT藝術品于市場流通。[2021/6/10 23:27:22]

0xNietzsche發起了300多筆交易來測試這一漏洞。如果沒有足夠稀有的特征，他們發起鑄造的每個Meebit都會被取消。經過300多次交易，他們終于能夠偶然發現一個罕見的Meebit。#16647。

「0xNietzsche」聲稱，他們每小時花了2萬美元的gas費，等著鑄造他們稀有的Meebit，但他們仍然利用合約這樣做。他們能夠以200ETH的價格出售新制作的Meebit，當時價值約75萬美元。

LarvaLabs很快就聽到風聲，暫時停止了Meebit的鑄造，并發布聲明：「我們已經暫停了Meebit合約中的社區鑄造和交易。合約是安全的，所有Meebits都是安全的，交易也很順利。」他們是正確的，Meebits仍然是完全隨機分配的——除非你投入大量的時間和gas費用，否則就不能利用合約，而那時，鑄造幾乎已經完成了。

盡管如此，Meebits是一個很好的例子，說明了如何利用智能合約，讓一個或多個用戶在創建NFT時獲得競爭優勢。

MoonCatRescue

MoonCatRescue于2017年推出，一開始他們的合約就有一個相當大的缺陷。

MoonCats官方常見問題解答頁面提出了一個問題：您是否為此獲得報酬？

回復:

不。我們打算從創世貓的銷售中收集以太坊。然而，我們在QA過程中所做的修正卻導致這些資金被永久封存。但這沒關系。

當MoonCat被收養時，transferCat(catId,catOwners,msg.sender,offer.price)，資金被發送到require(catOwners!=0x0。在測試中仔細檢查它的話，其實是可以解決這個問題的。雖然這不是智能合約的主要缺陷，但在他們意識到這個錯誤之前，他們仍然失去了相當數量的ETH。

智能合約的整體漏洞

2018年3月，五位計算機科學家合作撰寫了一篇題為《大規模發現貪婪、揮霍和自殺的合約》的論文，他們對此進行了研究:

貪婪合約，無限期鎖定資金

揮霍合約，將資金隨意地泄露給任意用戶

自殺合約，可以被任何人殺死

他們在以太坊網絡上簽訂了近100萬個(970,898)智能合約。他們發現，其中34200個智能合約容易受到黑客/利用，這意味著在2018年，大約每20個智能合約中就有1個面臨風險。他們深入分析了3759份合約，以具體驗證它們的代碼中存在漏洞，發現3686份合約中的漏洞都在平均10秒內被發現。這太瘋狂了！他們最多可以從合約中提出4905以太幣——略高于860萬美元。該報告還補充說，「此外，區塊鏈目前有6239以太坊(約560萬美元)被鎖定在死后的合約中，其中313以太坊在「死」后被送到了死合約中。」有很多加密貨幣卡在失效的合約里。在進行這項研究時，DeFi和其他智能合約占鏈上活動的比例要低得多。Glassnode于2021年5月6日發布的一份最新報告發現，22.8%的流通ETH被鎖定在智能合約中。

現在仍然是每20個智能合約中就有1個容易受到攻擊的情況嗎？項目是否變得更安全了?或者，隨著智能合約對缺乏知識的人來說變得更容易發布，情況可能變得更糟了？即使我們保持1/20的比率，這將意味著大約1%的ETH供應處于脆弱的智能合約中。

這里的要點是，在開始一個項目之前要做調查。盡量不要FOMO。確保你想要投資的項目花時間開發智能合約，確保這個項目不是憑空產生的。許多復制粘貼的代碼存在于那里，這總是一個危險信號。

Tags：NFTMEEBMEEBITINFTMEEBITS20價格MeetPleTxbit Token

AVAX