最近一段时间,Web3.0不断“刷屏”,NFT疯狂“出圈”,有人撸空投,有人搞收藏,有人说,NFT的爆炸性增长正在推动Web 3.0的发展。
Web1.0 到 Web2.0 实现了内容的消费者向内容生产者的转变,其本质是进行了一次从物理世界向网络世界的平行时空的大迁徙,当我们畅谈 Web3.0 的发展时,不得不进一步提到关于区块链,因为区块链的去中心化、去信任和防篡改的特性很好的对标了 Web3.0 的目标——创造新一代互联网,让每个用户掌握自己的数据、身份和命运。
Web3.0基于区块链而存在,承诺将隐私和数字身份还给用户,同时由于NFT等的应用,实现了新的互动水平。但我们更需要的是Web3.0热潮下NFT的诸多“危险”与“隐患”,最近NFT领域随处可见的“黑客事件”也证明了我们需要将“安全”放在第一位。
分析师:BTC若收于10370美元上方,将“疯狂看涨”:资深加密交易员兼分析师Josh Rager在推特上表示,BTC即将采取的行动将产生巨大的看涨影响。然而,多头还有一些工作要做:“BTC突破日阻力,对空头们毫不留情,正试图突破10300美元。BTC若收于10370美元上方,将疯狂看涨。”(The Daily Hodl)[2020/6/2]
4月21日,NBA的NFT项目合约遭受攻击,攻击者利用了签名未验证,在合约代码中,vData memory参数info在传入函数中未进行验证导致签名可复用,攻击者可以通过使用其他人的签名来进行Mint,导致项目方被疯狂“薅羊毛”。
EOS最富地址排行榜第二位疯狂“吸筹”:两日买入约2亿元EOS:据etherscan.io数据显示,截至目前,EOS最富地址排行榜第二位地址近两日共收了2090148.055个EOS,价值约2亿元人民币。目前该地址共持有约5600万枚EOS,总价值7.48亿美元,占EOS总市值的5.6%。另一个排名25位的大户地址近两日也“吸筹”约1亿人民币。[2018/5/17]
而在4月23日,NFT项目Akutar惊现低级漏洞,它的AkuAuction合约由于智能合约本身漏洞,导致11539ETH(价值约3400万美元)被锁死在合约中。经成都链安技术团队分析,发现Akutar项目的智能合约包含2个漏洞:
Coinbase联合创始人Fred Ehrsam:区块链不只是一场疯狂的投机游戏:今日,Coinbase联合创始人Fred Ehrsam和A16Z Chris Dixon进行对话。Fred Ehrsam认为区块链最大的意义在于,我们第一次把经济系统嵌入到了互联网里。因为在互联网的基础设计上,我们并没有把这种支付的能力写入到底层协议的代码里面,所以你没办法直接在协议层支付购买你想要的商品或服务。而去中心化的区块链和token则是一种更直接的经济系统。[2018/4/12]
第一个合约漏洞在processRefunds中,设计者根据refundProgress计数器进行循环退款,而如果有攻击者此时在fallback中进行revert则会导致后面的人都无法进行退款,这个漏洞被人在链上证明但没有进行攻击利用。
韩国比特币交易所疯狂从传统银行挖人才:韩国比特币交易所开始“招聘狂欢”,疯狂从传统银行挖人才。已有450名员工的Bithumb表示将再扩招400名全职员工,其中300人进入客服中心,100人在总部;Korbit也要增员60-100人。工作岗位主要涉及IT、海外营销和法律事务,员工可以获得加班补贴,股票期权和奖励金以及交通费,食品津贴,无限购书积分,健身俱乐部会员资格,甚至还有口腔医疗和按摩服务。[2018/1/7]
第二个漏洞在claimProjectFunds中,require语句(refundProgress > = totalBids)的totalBids变量应该是bidIndex,这个漏洞使得该判断条件永远失败,导致无法执行后续的提款操作。最终,导致项目方11539ETH(价值约3400万美元)被锁定无法提取。
CME董事长Leo Melamed:CME将驯服比特币,让比特币不狂野、不疯狂:12月18日,全球最大的衍生品交易所运营商CME开始了比特币期货交易,该合约开盘价为今日盘中高位达到20650美元,随后一度跌逾11%。CME董事长Leo Melamed声称:“CME将驯服比特币,让比特币不狂野、不疯狂,我们将把比特币驯服成一种有规则的交易工具。”[2017/12/18]
可见关注NFT合约风险,变得越来越紧迫。
根据NFTSCAN数据显示,目前全球NFT项目已接近七万个,而且数据还在持续增长中。
数据来源:NFTSCAN(统计时间:2022.4.25 18:00)
NFT作为Web3.0的底座,它的安全问题对行业发展同样重要,为了护航Web3.0的安全生态,成都链安通过智能合约形式化验证工具链必验对上千个NFT项目进行漏洞扫描,发现NFT常见的合约问题还包括以下几类:
业务逻辑相关问题:
此类问题可能直接导致合约的业务逻辑出错。
漏洞描述:chapterAuctionMinted的值永远为初始值,但是在此处使用的判断条件中,使用了该值进行条件检查。如果在开发期间使用[链必验]扫描后,开发者可根据扫描结果判断是否是相关逻辑缺失(可能导致NFT超量发放等业务逻辑安全问题),亦或是冗余代码。
漏洞描述:未检测返回值。在NFT项目中,经常存在有偿铸币的功能,调用者需要将作为铸币手续费的ERC20代币发送到NFT铸币合约中,然后NFT铸币合约为其铸造对应数量的NFT代币。但是部分ERC20合约存在假充值的问题,即转账失败不抛出异常而是返回false,这样就会导致一个问题,攻击者可以利用这点,在未支付手续费的情况下,铸造任意数量的NFT。开发者应根据VaaS扫描结果的建议,检查transferFrom操作的返回值或者使用safeTransferFrom函数进行ERC20代币转账。
代码规范相关问题
此类问题可能不会直接造成业务逻辑出错,但是会影响代码的可读性,造成合约调用时有多余的gas消耗等。同时不规范的代码也容易导致编写时逻辑混乱,有隐藏的逻辑错误的概率更高。
漏洞描述:此处循环的结束条件为curr>=0,而curr为uint导致curr>=0恒满足。此处会导致循环无法正常结束。[链必验]在扫描中会对这类结果为定值的条件进行告警,用户可以通过提示确认此处逻辑,对条件进行删除或修改。
漏洞描述:此处event中将string类型的数据标记了indexed,该写法会导致在事件结果中无法直接获得对应的string结果。建议用户参考[链必验]的提示,仅使用indexed修饰固定长度的变量。
研究发现,大多数的NFT合约都没有进行过专业的安全审计,这就存在很大的安全隐患,容易导致攻击事件的发生,造成资产的损失。所以NFT智能合约开发者应具备基本的安全开发意识,了解智能合约开发应注意的安全问题;此外,在合约设计和实现时,注意代码实现的正确性。我们建议开发完成后,可使用[链必验]对项目进行安全检测。项目上线前,可选择安全审计,规避安全风险。
安全,是区块链技术能够得以长足发展的重要保证,守护Web3.0的安全也变得愈发重要。今天我们所讲的业务逻辑相关问题和代码规范性相关问题,也是智能合约里面常见的问题类型?,后续我们将继续推出NFT相关安全文章,请大家持续关注我们
4 月 18 日,以太坊基金会(EF)发布了 2021 年度报告,描述了 2021 年该基金会所做的工作,如何向以太坊生态分配资源和资金.
1900/1/1 0:00:00DAO的核心价值支柱之一是,就其本身而言,在于没有任何个人拥有控制权。如果权力分配得当,就没有一个人可以做出最终决定。做出的决定是每个人观点的有机集合.
1900/1/1 0:00:003月美国劳工部公布消费者物价指数(CPI)年增率为8.5%,创造40年来的最大增幅,该指数是观察通胀的重要数据。 对于通胀恶化的原因众说纷纭,FTX创办人SBF也对通胀发表了一些自身看法.
1900/1/1 0:00:00北京市天元律师事务所新经济团队联合World Leading Scientists Institute(WLSI)、中国中小企业协会高新技术产业分会、PNG研究组的Kris、硅谷web3.
1900/1/1 0:00:00OpenSea 收购 Gem 是非常中心化的手段了,当有竞品冒出,尽管尚且还构不成威胁,垄断龙头企业仍会通过强大的资本实力迅速收购/兼并,将威胁扼杀在苗头之中.
1900/1/1 0:00:00随着越来越多的资本和品牌入局,“元宇宙”的热度也被追捧到了新高。那么什么是元宇宙,普通人又该如何理解与融入呢?元宇宙(Metaverse)是利用科技手段进行链接与创造的,与现实世界映射和交互的虚.
1900/1/1 0:00:00