5 prif wendid contract smart NFT i wylio amdanynt

Mae'r sector NFT wedi gweld nifer o broblemau ers iddo ddod i'r amlwg sydd wedi peri i lawer o bobl boeni nad yw NFTs mor ddiogel ag y tybiwyd yn flaenorol. Fodd bynnag, nid yw'r broblem yn gorwedd gyda'r NFTs eu hunain.

Mae NFTs mewn gwirionedd yn gontractau smart, ac mae'r contractau hyn yn agored i wendidau. Yn eu hanfod, cod yn unig yw contractau smart, a pho fwyaf cymhleth yw'r cod, y mwyaf o le sydd i wallau ddangos. Wrth gwrs, mae datblygwyr yn tueddu i gribo eu cod am wallau a gwendidau dro ar ôl tro, ond hyd yn oed ar ôl chwiliad helaeth - gall diffyg neu ddau barhau i fod ac achosi problemau ar y ffordd, yn enwedig os yw actorion drwg yn llwyddo i'w hadnabod.

Dyna pam y dylid cynnal archwiliadau diogelwch o hyd, gan fod cod y contractau smart yn gofyn am fwy o sylw. Yna, a dim ond wedyn y gellir sicrhau contractau clyfar—ac i ryw raddau, yr NFTs—yn ddigonol.

Gadewch i ni edrych ar rai o'r diffygion mwy cyffredin ond eithaf peryglus sy'n tueddu i fod yn bresennol mewn contractau smart:

Gwendidau gwerthu tocyn NFT

Y cyfle cyntaf sydd gan actorion drwg i ddefnyddio diffygion contractau smart i amharu ar brosiect NFT yw yn ystod gwerthiant tocynnau. Un o'r enghreifftiau mwyaf nodedig yw gwerthiant tocyn Adidas NFT.

Wrth i'r gwerthiant fynd rhagddo, llwyddodd ymosodwr i osgoi'r terfynau ar yr uchafswm tocynnau a brynwyd ar gyfer waled. O ganlyniad, llwyddodd yr haciwr i sgorio 330 NFTs, gan amharu'n barhaol ar gasgliad NFT cyntaf Adidas, a oedd fel arall yn llwyddiannus, “Into the Metaverse.” Y cyfan y bu'n rhaid i'r haciwr ei wneud i gyflawni hyn yw cael gwared ar y terfyn a ddywedodd mai dim ond dau NFT y gellir eu sgorio fesul waled Ethereum.

Gwendidau marchnad

Nid yw'r diffyg nesaf o reidrwydd yn ymwneud â'r NFTs eu hunain, ond y marchnadoedd lle gellir dod o hyd iddynt. Un enghraifft o hyn yw OpenSea, marchnad NFT fwyaf y byd. Ddim yn rhy bell yn ôl, dioddefodd OpenSea ymosodiad pan lwyddodd y parti tramgwyddus i brynu darnau arian am eu hen bris.

Roedd y bwlch hwn yn caniatáu i nifer o bobl brynu NFTs gwerthfawr am brisiau a oedd yn sylweddol is na gwerth marchnad y tocynnau. Y prosiect mwyaf nodedig yr effeithiwyd arno gan hyn oedd Clwb Hwylio Bored Ape, gydag un o'i NFTs (#9991) wedi'i brynu ar gyfer 0.77 ETH, dim ond i'r ymosodwr ei ailwerthu am 84.2 ETH.

Allweddi preifat agored

Nid yw'r drydedd broblem yr hoffwn sôn amdani yn ymwneud yn benodol â NFTs. Mewn gwirionedd, mae wedi bod yn rhan o'r diwydiant crypto ers y bu diwydiant crypto. Mae'n ymwneud â storio allweddi preifat yn ddiogel, a ddefnyddir i gael mynediad i waledi a chynnal taliadau.

Mae hacwyr wedi nodi llawer o ddulliau y gellir eu defnyddio yn erbyn buddsoddwyr anwybodus i ddwyn eu bysellau preifat a chael mynediad at eu darnau arian a thocynnau. Un o'r dulliau a ddefnyddir amlaf yw gwe-rwydo. Unwaith eto, daw OpenSea i'r meddwl, gan iddo ddioddef ymosodiad gwe-rwydo yn ddiweddar, lle'r oedd defnyddwyr yn meddwl eu bod yn anfon trafodion i'r rhwydwaith.

Yn lle hynny, fe wnaeth haciwr eu twyllo i lofnodi'r data gan ddefnyddio MetaMask, a gyda chymorth eu llofnod, llwyddodd yr ymosodwr i ddwyn eu harian.

Ymosodiadau ail-entrancy

Gelwir math arall o ymosodiad yn ymosodiad ail-fynediad, ac mae'r un hwn yn ymwneud â safon NFT mwyaf poblogaidd OpenZeppelin. Yn y bôn, mae gan weithrediad mwyaf poblogaidd OpenZeppelin o safon NFT swyddogaeth galw'n ôl.

Yn y bôn, mae'n swyddogaeth y bwriedir iddi helpu datblygwyr i integreiddio NFTs i brosiectau, ond y broblem yw y gellir ei chamddefnyddio hefyd ar gyfer cynnal ymosodiadau ail-fynediad, ar yr amod bod datblygwyr y cod yn ddigon diofal i anghofio darparu amddiffyniad yn eu herbyn. Digwyddodd un o'r enghreifftiau diweddaraf o'r ymosodiad hwn ar Chwefror 3rd pan adroddodd contract HypeBeast NFT drafodiad ymosodiad.

Roedd gan y prosiect gyfyngiad ar faint o NFTs y gall cyfrif eu bathu, ond defnyddiodd yr ymosodwyr y swyddogaeth galw'n ôl i alw'r swyddogaeth mintNFT eto.

Sgamiau a rygiau NFT

Cafwyd digonedd o enghreifftiau o hyn, megis Cool Kittens, a addawodd i fuddsoddwyr docyn electronig gyda chelf cathod, tocyn pwrpasol o'r enw PURR, ac aelodaeth mewn DAO. Mae pob addewid braidd yn safonol y mae digon o brosiectau'r NFT wedi'u gwneud a'u cyflawni. Fodd bynnag, ni wnaeth Cool Kittens. Dim ond tair wythnos ar ôl cyhoeddi casgliad yr NFT, dechreuodd y gwaith bathu, ac aeth yr NFTs ar werth. Ffrwydrodd y prosiect, gan werthu dros 2,200 o NFTs mewn oriau yn unig, am bris o $70 yr un.

Casglodd y datblygwyr $ 160,000 gan gynulleidfa fyd-eang o brynwyr mewn crypto, ac yna fe wnaethant ddiflannu gyda'r arian. Dim ond un enghraifft yw hon o rywbeth sy'n eithaf cyffredin yn y diwydiant crypto, felly dylai unrhyw un sy'n cymryd rhan mewn gwerthiannau tocynnau o unrhyw fath ei gadw mewn cof a bod yn ofalus iawn.

Casgliad

Mae'r sector NFT yn darparu digon o gyfleoedd ar gyfer buddsoddiadau sy'n rhoi llawer o foddhad, ond gellir ei ddefnyddio hefyd yn erbyn buddsoddwyr trwy nifer o wahanol wendidau. Nid yw hyn bob amser yn wir, oherwydd weithiau, gall y diffyg fod gyda'r farchnad sy'n eu gwerthu, buddsoddwyr nad ydyn nhw'n gwybod sut i amddiffyn eu hunain, neu hyd yn oed gyda datblygwyr yr NFT, sy'n dymuno twyllo'r gymuned a diflannu gyda'u harian. .

Yr unig ffordd i amddiffyn buddsoddwyr rhag hyn yw i brosiectau gynnal archwiliadau o'u contractau smart, ac i farchnadoedd wirio eu systemau yn rheolaidd am fygiau a diffygion. O ran buddsoddwyr eu hunain, yr unig beth y gallant ei wneud yw bod yn ofalus a gweithio ar addysgu eu hunain am y bygythiadau y gallent ddod ar eu traws, a beth i'w wneud os ydynt yn wynebu unrhyw un o'r materion hyn neu faterion eraill.