最近一段時間,Web3.0不斷“刷屏”,NFT瘋狂“出圈”,有人擼空投,有人搞收藏,有人說,NFT的爆炸性增長正在推動Web3.0的發展。
Web1.0到Web2.0實現了內容的消費者向內容生產者的轉變,其本質是進行了一次從物理世界向網絡世界的平行時空的大遷徙,當我們暢談Web3.0的發展時,不得不進一步提到關于區塊鏈,因為區塊鏈的去中心化、去信任和防篡改的特性很好的對標了Web3.0的目標——創造新一代互聯網,讓每個用戶掌握自己的數據、身份和命運。
Web3.0基于區塊鏈而存在,承諾將隱私和數字身份還給用戶,同時由于NFT等的應用,實現了新的互動水平。但我們更需要的是Web3.0熱潮下NFT的諸多“危險”與“隱患”,最近NFT領域隨處可見的“黑客事件”也證明了我們需要將“安全”放在第一位。
由KONAMI研發支持的鏈游「瘋狂的馬斯克」已發行測試版本開啟內測:1月18日消息,由日本著名游戲廠商KONAMI研發支持的區塊鏈游戲項目「海格利安」(HAGLIEN)的首款鏈游「瘋狂的馬斯克」(MadMusk)已經發行了測試版本開啟內測,并于近日宣布將在游戲內開啟「惡魔城」(Castlevania)系列的專屬NFT道具,包含武器,皮膚,加成道具等,并將開設專屬關卡副本。同時,也或將支持「惡魔城」(Castlevania)系列NFT在游戲內進行某種程度的使用。[2022/1/18 8:56:20]
近期發生了哪些NFT合約安全事件?
4月21日,NBA的NFT項目合約遭受攻擊,攻擊者利用了簽名未驗證,在合約代碼中,vDatamemory參數info在傳入函數中未進行驗證導致簽名可復用,攻擊者可以通過使用其他人的簽名來進行Mint,導致項目方被瘋狂“薅羊毛”。
陳玄策:一級市場的瘋狂洗牌等原因導致GBTC持續負溢價:金色財經報道,在6月4日舉辦的《金色百家談 | 分析:灰度BTC信托溢價率對加密市場的影響》直播節目中,AOFEX戰略合作學院-K神學院院長陳玄策表示,灰度BTC信托溢價率持續保持負值有兩方面的原因:
一是市面上出現更多的信托機構產生了競爭(鎖倉期到期調倉所致);
二是一級市場的瘋狂洗牌。由于比特幣出現多次下跌回調,恐慌情緒加劇導致數百億美元加密資產爆倉清算,使得套利空間不斷縮水,進而引發GBTC到期解鎖流出巨額資金,不再產生正反饋繼續買入GBTC份額。
本輪牛市主導力量來源于機構,在多重原因(全球疫情下大環境導致的通貨膨脹考慮貨幣貶值原因,對沖,風險分散投資,套利空間...)中,考慮購入GBTC獲得套利才是最重要的原因,一旦一級市場不支持牛市的上漲,二級市場就不具備溢價的條件。而在當前大環境影響下并不具備牛市中后期走勢爆發,這應該還將持續一段時間,除非出現重大利好如美國SEC允許數字貨幣ETF在二級股票市場發行。[2021/6/4 23:12:41]
瑞波:呼吁英國監管機構結束加密貨幣“瘋狂西部”時代:據英國《每日電訊報》報道,總部位于舊金山的瑞波(Ripple)正在呼吁英國監管機構結束加密貨幣“瘋狂西部”時代。該公司敦促英國效仿日本的做法,實施結構性監管框架,鼓勵對數字貨幣進行安全和合法的投資。瑞波監管法規主管表示,“現在我們需要更明確的監管澄清和更明確的監管規定。現在是開始重新審視監管機構采取的“觀望”方式的好時機。”[2018/4/16]
而在4月23日,NFT項目Akutar驚現低級漏洞,它的AkuAuction合約由于智能合約本身漏洞,導致11539ETH被鎖死在合約中。經成都鏈安技術團隊分析,發現Akutar項目的智能合約包含2個漏洞:
Coinbase聯合創始人Fred Ehrsam:區塊鏈不只是一場瘋狂的投機游戲:今日,Coinbase聯合創始人Fred Ehrsam和A16Z Chris Dixon進行對話。Fred Ehrsam認為區塊鏈最大的意義在于,我們第一次把經濟系統嵌入到了互聯網里。因為在互聯網的基礎設計上,我們并沒有把這種支付的能力寫入到底層協議的代碼里面,所以你沒辦法直接在協議層支付購買你想要的商品或服務。而去中心化的區塊鏈和token則是一種更直接的經濟系統。[2018/4/12]
第一個合約漏洞在processRefunds中,設計者根據refundProgress計數器進行循環退款,而如果有攻擊者此時在fallback中進行revert則會導致后面的人都無法進行退款,這個漏洞被人在鏈上證明但沒有進行攻擊利用。
電影《瘋狂的比特幣》唐山殺青:網易娛樂20日消息,由岳雪剛出品,香港TVB導演陳太源導演電影《瘋狂的比特幣》殺青。據悉陳太源是香港、新加坡金牌監制兼導演,先后在香港ATV亞洲電視臺、TVB任監制和導演。已完成88年梁朝偉版《絕代雙驕》、《天涯明月刀》、《書劍恩仇錄》等制作。[2018/3/20]
第二個漏洞在claimProjectFunds中,require語句的totalBids變量應該是bidIndex,這個漏洞使得該判斷條件永遠失敗,導致無法執行后續的提款操作。最終,導致項目方11539ETH(價值約3400萬美元)被鎖定無法提取。
可見關注NFT合約風險,變得越來越緊迫。
NFT合約問題包括哪些?
根據NFTSCAN數據顯示,目前全球NFT項目已接近七萬個,而且數據還在持續增長中。
數據來源:NFTSCAN
NFT作為Web3.0的底座,它的安全問題對行業發展同樣重要,為了護航Web3.0的安全生態,成都鏈安通過智能合約形式化驗證工具鏈必驗對上千個NFT項目進行漏洞掃描,發現NFT常見的合約問題還包括以下幾類:
業務邏輯相關問題:
此類問題可能直接導致合約的業務邏輯出錯。
漏洞描述:chapterAuctionMinted的值永遠為初始值,但是在此處使用的判斷條件中,使用了該值進行條件檢查。如果在開發期間使用掃描后,開發者可根據掃描結果判斷是否是相關邏輯缺失,亦或是冗余代碼。
漏洞描述:未檢測返回值。在NFT項目中,經常存在有償鑄幣的功能,調用者需要將作為鑄幣手續費的ERC20代幣發送到NFT鑄幣合約中,然后NFT鑄幣合約為其鑄造對應數量的NFT代幣。但是部分ERC20合約存在假充值的問題,即轉賬失敗不拋出異常而是返回false,這樣就會導致一個問題,攻擊者可以利用這點,在未支付手續費的情況下,鑄造任意數量的NFT。開發者應根據VaaS掃描結果的建議,檢查transferFrom操作的返回值或者使用safeTransferFrom函數進行ERC20代幣轉賬。
代碼規范相關問題
此類問題可能不會直接造成業務邏輯出錯,但是會影響代碼的可讀性,造成合約調用時有多余的gas消耗等。同時不規范的代碼也容易導致編寫時邏輯混亂,有隱藏的邏輯錯誤的概率更高。
漏洞描述:此處循環的結束條件為curr>=0,而curr為uint導致curr>=0恒滿足。此處會導致循環無法正常結束。在掃描中會對這類結果為定值的條件進行告警,用戶可以通過提示確認此處邏輯,對條件進行刪除或修改。
漏洞描述:此處event中將string類型的數據標記了indexed,該寫法會導致在事件結果中無法直接獲得對應的string結果。建議用戶參考的提示,僅使用indexed修飾固定長度的變量。
研究發現,大多數的NFT合約都沒有進行過專業的安全審計,這就存在很大的安全隱患,容易導致攻擊事件的發生,造成資產的損失。所以NFT智能合約開發者應具備基本的安全開發意識,了解智能合約開發應注意的安全問題;此外,在合約設計和實現時,注意代碼實現的正確性。我們建議開發完成后,可使用對項目進行安全檢測。項目上線前,可選擇安全審計,規避安全風險。
安全,是區塊鏈技術能夠得以長足發展的重要保證,守護Web3.0的安全也變得愈發重要。今天我們所講的業務邏輯相關問題和代碼規范性相關問題,也是智能合約里面常見的問題類型?,后續我們將繼續推出NFT相關安全文章,請大家持續關注我們
Tags:NFTWEBWEB3WEB3.0CLOCK Vault (NFTX)Web AIweb3游戲賺錢web3.0幣狗狗幣
萬萬沒想到,今年春天VR廠商們為“一雙手”卷起來了。僅2022年上半年,就有四家VR巨頭對自家VR設備的手勢交互技術操刀改良.
1900/1/1 0:00:00馬斯克獲得465億美元融資承諾后,推特董事會態度180度大轉變。收購得到董事會成員一致同意,預計今年內完成,尚待監管方批準。媒體稱,協議規定一旦馬斯克放棄收購,就得賠償推特、支付反向分手費.
1900/1/1 0:00:00解決收入不平等 永遠確保所有數據安全 讓一切高效得多、無需信任 拯救垂死的嬰兒 那么,區塊鏈到底是什么樣的技術?它真可以做到所有上述這些嗎?區塊鏈能為醫療、金融、供應鏈管理和音樂版權等形形色色的.
1900/1/1 0:00:00引言 DeFi經過五年的高速發展,基礎積木/基建領域的各個大方向的贏家已定,市場格局無太多變動.
1900/1/1 0:00:00頭條 ▌比特幣正式進入第三個減半周期的后半段金色財經報道,比特幣的減半每四年發生一次。每次減半后,BTC的供應率會下降50%,該系統將持續到大約2140年,即最后一個比特幣被開采出來.
1900/1/1 0:00:00“數字人,數智人。” 幾乎每個人的智能手機都配備了語音AI助手。你可能和ta定過鬧鐘、查過資料、甚至玩成語接龍或者斗過嘴.
1900/1/1 0:00:00