最近一段時間,Web3.0不斷“刷屏”,NFT瘋狂“出圈”,有人擼空投,有人搞收藏,有人說,NFT的爆炸性增長正在推動Web 3.0的發展。
Web1.0 到 Web2.0 實現了內容的消費者向內容生產者的轉變,其本質是進行了一次從物理世界向網絡世界的平行時空的大遷徙,當我們暢談 Web3.0 的發展時,不得不進一步提到關于區塊鏈,因為區塊鏈的去中心化、去信任和防篡改的特性很好的對標了 Web3.0 的目標——創造新一代互聯網,讓每個用戶掌握自己的數據、身份和命運。
Web3.0基于區塊鏈而存在,承諾將隱私和數字身份還給用戶,同時由于NFT等的應用,實現了新的互動水平。但我們更需要的是Web3.0熱潮下NFT的諸多“危險”與“隱患”,最近NFT領域隨處可見的“黑客事件”也證明了我們需要將“安全”放在第一位。
新華社:百倍杠桿!瘋狂的幣圈帶來“暴富”還是“爆倉”?:5月29日晚,新華社發布題為《百倍杠桿!瘋狂的“幣圈”帶來“暴富”還是“爆倉”?》的文章,再次對虛擬貨幣表示關注。這是新華社在兩天內第3次發問虛擬貨幣。
文章表示,讓眾多投資者一夜之間賬面清零的背后,是“幣圈”的期貨合約交易。近年來,除了現貨交易,期貨合約交易逐步成為虛擬貨幣交易的重要衍生品。此類合約具有雙向交易、高杠桿等特征。從表面上看,此類合約可以對沖風險,但更多投資者把其視為“一夜暴富”的工具。因為,加杠桿后,隨著“幣值”漲跌,收益也會成倍變化。虛擬貨幣的交易風險遠不止價格劇烈波動,在交易炒作的背后還常常伴隨著“莊家”操縱市場價格。業內人士表示,虛擬貨幣交易沒有實物依托,價格容易被操縱。尤其是不少“空氣幣”發行技術模糊,發行上限不確定,存在巨量持有者,極易被“莊家”操縱價格。高杠桿下的爆倉,眾多投資者兩手空空血本無歸,虛擬貨幣交易平臺卻在其中穩賺收益。
此前消息,5月28日晚,新華社發布了《1萬臺“礦機”一個月能“吃”4500萬度電!挖的是“幣”還是“坑”?》,就比特幣“挖礦”帶來的巨大能源損耗提出質疑。29日中午,新華社發布《加密貨幣,是金融創新還是“龐氏騙局”?》,再次就比特幣等虛擬貨幣發問。[2021/5/30 22:55:57]
4月21日,NBA的NFT項目合約遭受攻擊,攻擊者利用了簽名未驗證,在合約代碼中,vData memory參數info在傳入函數中未進行驗證導致簽名可復用,攻擊者可以通過使用其他人的簽名來進行Mint,導致項目方被瘋狂“薅羊毛”。
聲音 | Cardano創始人:Cardano就像一座冰山,接下來兩個月將會很瘋狂:Cardano創始人、IOHK首席執行官Charles Hoskinson近期發推將Cardano比作一座冰山,稱該項目有著許多人們看不見但很快會產生巨大影響的內容。接下來的兩個月將是“瘋狂的”。[2020/2/23]
而在4月23日,NFT項目Akutar驚現低級漏洞,它的AkuAuction合約由于智能合約本身漏洞,導致11539ETH(價值約3400萬美元)被鎖死在合約中。經成都鏈安技術團隊分析,發現Akutar項目的智能合約包含2個漏洞:
EOS最富地址排行榜第二位瘋狂“吸籌”:兩日買入約2億元EOS:據etherscan.io數據顯示,截至目前,EOS最富地址排行榜第二位地址近兩日共收了2090148.055個EOS,價值約2億元人民幣。目前該地址共持有約5600萬枚EOS,總價值7.48億美元,占EOS總市值的5.6%。另一個排名25位的大戶地址近兩日也“吸籌”約1億人民幣。[2018/5/17]
第一個合約漏洞在processRefunds中,設計者根據refundProgress計數器進行循環退款,而如果有攻擊者此時在fallback中進行revert則會導致后面的人都無法進行退款,這個漏洞被人在鏈上證明但沒有進行攻擊利用。
電影《瘋狂的比特幣2》已經準備啟動:環球網記者從制片方了解到第一部雖然還沒上線,但是《瘋狂的比特幣2》卻已經準備啟動,劇本正由著名作家與編劇團隊研究商討中,制片方表示第二部影片會動用諸多一線大咖演員參與,也邀請網紅鮮肉加盟。[2018/4/11]
第二個漏洞在claimProjectFunds中,require語句(refundProgress > = totalBids)的totalBids變量應該是bidIndex,這個漏洞使得該判斷條件永遠失敗,導致無法執行后續的提款操作。最終,導致項目方11539ETH(價值約3400萬美元)被鎖定無法提取。
可見關注NFT合約風險,變得越來越緊迫。
比特幣瘋狂上漲的幕后推手是日本人:據外媒報道,德銀證券全球金融策略師Masao Muraki在周四發表的研報中表示,最近比特幣瘋狂大漲的主導力量可能是日本人。“我們認為,零售投資者已從杠桿外匯交易轉戰杠桿加密貨幣交易。報告顯示,那些從事杠桿外匯交易的30多歲和40多歲的日本男性(或者以前從事這一行業但已收手的人。[2017/12/15]
根據NFTSCAN數據顯示,目前全球NFT項目已接近七萬個,而且數據還在持續增長中。
數據來源:NFTSCAN(統計時間:2022.4.25 18:00)
NFT作為Web3.0的底座,它的安全問題對行業發展同樣重要,為了護航Web3.0的安全生態,成都鏈安通過智能合約形式化驗證工具鏈必驗對上千個NFT項目進行漏洞掃描,發現NFT常見的合約問題還包括以下幾類:
業務邏輯相關問題:
此類問題可能直接導致合約的業務邏輯出錯。
漏洞描述:chapterAuctionMinted的值永遠為初始值,但是在此處使用的判斷條件中,使用了該值進行條件檢查。如果在開發期間使用[鏈必驗]掃描后,開發者可根據掃描結果判斷是否是相關邏輯缺失(可能導致NFT超量發放等業務邏輯安全問題),亦或是冗余代碼。
漏洞描述:未檢測返回值。在NFT項目中,經常存在有償鑄幣的功能,調用者需要將作為鑄幣手續費的ERC20代幣發送到NFT鑄幣合約中,然后NFT鑄幣合約為其鑄造對應數量的NFT代幣。但是部分ERC20合約存在假充值的問題,即轉賬失敗不拋出異常而是返回false,這樣就會導致一個問題,攻擊者可以利用這點,在未支付手續費的情況下,鑄造任意數量的NFT。開發者應根據VaaS掃描結果的建議,檢查transferFrom操作的返回值或者使用safeTransferFrom函數進行ERC20代幣轉賬。
代碼規范相關問題
此類問題可能不會直接造成業務邏輯出錯,但是會影響代碼的可讀性,造成合約調用時有多余的gas消耗等。同時不規范的代碼也容易導致編寫時邏輯混亂,有隱藏的邏輯錯誤的概率更高。
漏洞描述:此處循環的結束條件為curr>=0,而curr為uint導致curr>=0恒滿足。此處會導致循環無法正常結束。[鏈必驗]在掃描中會對這類結果為定值的條件進行告警,用戶可以通過提示確認此處邏輯,對條件進行刪除或修改。
漏洞描述:此處event中將string類型的數據標記了indexed,該寫法會導致在事件結果中無法直接獲得對應的string結果。建議用戶參考[鏈必驗]的提示,僅使用indexed修飾固定長度的變量。
研究發現,大多數的NFT合約都沒有進行過專業的安全審計,這就存在很大的安全隱患,容易導致攻擊事件的發生,造成資產的損失。所以NFT智能合約開發者應具備基本的安全開發意識,了解智能合約開發應注意的安全問題;此外,在合約設計和實現時,注意代碼實現的正確性。我們建議開發完成后,可使用[鏈必驗]對項目進行安全檢測。項目上線前,可選擇安全審計,規避安全風險。
安全,是區塊鏈技術能夠得以長足發展的重要保證,守護Web3.0的安全也變得愈發重要。今天我們所講的業務邏輯相關問題和代碼規范性相關問題,也是智能合約里面常見的問題類型?,后續我們將繼續推出NFT相關安全文章,請大家持續關注我們
隨著 Juno Network 17號提案的正式發布,持續兩周的Juno巨鯨制裁事件似乎走到了新的轉折點.
1900/1/1 0:00:00基本面分析是區塊鏈/加密貨幣領域不可或缺的投資和交易策略之一。因此,DAOrayaki社區編譯《衡量加密項目時的17個重要因素》一文.
1900/1/1 0:00:00Tribute Labs 的 CEO Aaron Wright 和 COO Priyanka Desai 在布魯克林的威廉斯堡,背景彩繪是一個流行的 NFT.
1900/1/1 0:00:00伴隨區塊鏈、大數據、人工智能等技術的發展,以Web2.0為代表的“信息互聯網時代”也正朝著Web3.0 即“價值互聯網時代”演化,在這個過程中,“數據”逐漸成為經濟發展的核心.
1900/1/1 0:00:00距進入元宇宙就差突破性的臨門一腳。人類每次技術大爆炸必然都伴隨著生活方式的巨變。例如電話的出現直接打破了原本世界空間上的壁障,并且還間接影響了此后幾十年社會經濟、生產生活,甚至戰爭;再比如互聯網.
1900/1/1 0:00:00盡管從微觀和宏觀經濟角度來看,目前的局勢充滿挑戰,但區塊鏈游戲活躍仍保持穩定。最近對Ronin橋的5億次黑客攻擊,提醒我們互操作性需要權衡取舍.
1900/1/1 0:00:00