Sectorul NFT a întâmpinat mai multe probleme de când a apărut, ceea ce a făcut pe mulți oameni îngrijorați de faptul că NFT-urile nu sunt atât de sigure pe cât se credea anterior. Cu toate acestea, problema nu ține de NFT-urile în sine.
NFT-urile sunt de fapt contracte inteligente, iar aceste contracte sunt supuse unor vulnerabilități. În esența lor, contractele inteligente sunt doar un cod și, cu cât codul este mai complex, cu atât este mai mult spațiu pentru ca erorile să apară. Desigur, dezvoltatorii au tendința de a-și pieptăna codul pentru erori și vulnerabilități din nou și din nou, dar chiar și după o căutare extinsă - un defect sau două pot rămâne și pot cauza probleme pe viitor, mai ales dacă actorii răi reușesc să le identifice.
Acesta este motivul pentru care ar trebui efectuate în continuare audituri de securitate, deoarece codul contractelor inteligente necesită o atenție mai mare. Atunci, și numai atunci, contractele inteligente - și într-o oarecare măsură, NFT-urile - pot fi securizate în mod adecvat.
Să aruncăm o privire la unele dintre defecte mai comune, dar încă destul de periculoase, care tind să fie prezente în contractele inteligente:
Vulnerabilitatea vânzării de jetoane NFT
Prima oportunitate pe care o au actorii răi de a folosi defectele contractelor inteligente pentru a perturba un proiect NFT este în timpul vânzărilor de simboluri. Unul dintre cele mai notabile exemple este vânzarea de jetoane Adidas NFT.
Pe măsură ce vânzarea era în desfășurare, un atacator a reușit să ocolească limitele maximului de jetoane achiziționate pentru un portofel. Drept urmare, hackerul a reușit să obțină 330 de NFT-uri, perturbând permanent colecția de debut NFT de succes a Adidas, „Into the Metaverse”. Tot ceea ce a avut de făcut hackerul pentru a realiza acest lucru este să elimine limita care spunea că doar două NFT-uri pot fi marcate pe portofel Ethereum.
Vulnerabilitățile pieței
Următorul defect nu implică neapărat NFT-urile în sine, ci piețele unde pot fi găsite. Un exemplu în acest sens este OpenSea, cea mai mare piață NFT din lume. Nu cu mult timp în urmă, OpenSea a suferit un atac în timpul căruia partea infracțională a reușit să cumpere monede la prețul vechi.
Această lacună a permis mai multor persoane să cumpere NFT valoroase la prețuri semnificativ sub valoarea de piață a jetoanelor. Cel mai notabil proiect care a fost afectat de acest lucru a fost Bored Ape Yacht Club, cu unul dintre NFT-urile sale (#9991) achiziționat cu 0.77 ETH, doar pentru ca atacatorul să-l revândă cu 84.2 ETH.
Chei private expuse
A treia problemă pe care aș dori să o menționez nu este specifică NFT-urilor. De fapt, a făcut parte din industria cripto de când a existat o industrie cripto. Se învârte în jurul stocării în siguranță a cheilor private, care sunt folosite pentru accesarea portofelelor și efectuarea plăților.
Hackerii au identificat multe metode care pot fi folosite împotriva investitorilor neinformați pentru a le fura cheile private și pentru a le accesa monedele și jetoanele. Una dintre cele mai frecvent utilizate metode este phishingul. Încă o dată îmi vine în minte OpenSea, care a suferit recent un atac de tip phishing, în care utilizatorii credeau că trimit tranzacții în rețea.
În schimb, un hacker i-a păcălit să semneze datele folosind MetaMask și, cu ajutorul semnăturii lor, atacatorul a reușit să le fure fondurile.
Atacurile de reintrare
Un alt tip de atac este cunoscut sub numele de atac de reintrare, iar acesta se referă la cel mai popular standard NFT al OpenZeppelin. În esență, cea mai populară implementare de la OpenZeppelin a standardului NFT are o funcție de apel invers.
În esență, este o funcție care are scopul de a ajuta dezvoltatorii să integreze NFT-urile în proiecte, dar problema este că poate fi folosită greșit și pentru a efectua atacuri de reintrare, cu condiția ca dezvoltatorii de cod să fie suficient de neglijenți încât să uite să ofere protecție împotriva lor. Unul dintre cele mai recente exemple ale acestui atac a avut loc pe 3 februarie, când un contract HypeBeast NFT a raportat o tranzacție de atac.
Proiectul avea o limită a numărului de NFT pe care un cont poate bate, dar atacatorii au folosit funcția de apel invers pentru a invoca din nou funcția mintNFT.
Escrocherii și covoare NFT
Au existat o mulțime de exemple în acest sens, cum ar fi Cool Kittens, care a promis investitorilor un token electronic cu artă de pisică, un token creat special numit PURR și calitatea de membru al DAO. Toate promisiunile mai degrabă standard pe care multe proiecte NFT le-au făcut și le-au îndeplinit. Cool Kittens, totuși, nu. La doar trei săptămâni după anunțarea colecției NFT, a început baterea, iar NFT-urile au fost scoase la vânzare. Proiectul a explodat, vânzând peste 2,200 de NFT în doar ore, la un preț de 70 de dolari bucata.
Dezvoltatorii au strâns 160,000 USD de la o audiență globală de cumpărători în cripto, apoi pur și simplu au dispărut cu banii. Acesta este doar un exemplu de ceva care este destul de comun în industria cripto, așa că oricine participă la vânzări de token-uri de orice fel ar trebui să-l țină cont și să fie extrem de precaut.
Concluzie
Sectorul NFT oferă o mulțime de oportunități pentru investiții destul de satisfăcătoare, dar poate fi folosit și împotriva investitorilor printr-o serie de vulnerabilități diferite. Acesta nu este întotdeauna cazul, deoarece uneori, defectul poate să aparțină pieței care le vinde, investitorilor care nu știu să se protejeze, sau chiar dezvoltatorilor NFT, care doresc să înșele comunitatea și să dispară cu banii lor. .
Singura modalitate de a proteja investitorii de acest lucru este ca proiectele să efectueze audituri ale contractelor lor inteligente și ca piețele să își verifice în mod regulat sistemele pentru erori și defecte. În ceea ce privește investitorii înșiși, singurul lucru pe care îl pot face este să fie precauți și să lucreze pentru a se educa cu privire la amenințările pe care le-ar putea întâlni și ce să facă dacă se confruntă cu oricare dintre aceste probleme sau alte probleme.
Obțineți rezumatul zilnic Bitcoin, DEFI, NFT și Web3 știri de la CryptoSlate
Este gratuit și vă puteți dezabona oricând.
Postare invitată de Gleb Zykov de la HashEx
Gleb și-a început cariera în dezvoltarea de software într-un institut de cercetare, unde și-a câștigat o experiență tehnică și de programare puternică, dezvoltând diferite tipuri de roboți pentru Ministerul Rusiei pentru Situații de Urgență.
Mai târziu, Gleb și-a adus expertiza tehnică la compania de servicii IT GTC-Soft, unde a proiectat aplicații pentru Android. El a trecut pentru a deveni dezvoltator principal și, ulterior, CTO al companiei. În GTC, Gleb a condus dezvoltarea a numeroase servicii de monitorizare a vehiculelor și a unui serviciu asemănător Uber pentru taxiuri premium. În 2017, Gleb a devenit unul dintre co-fondatorii HashEx – o companie internațională de audit și consultanță blockchain. Gleb deține poziția de Chief Technology Officer, liderul dezvoltării de soluții blockchain și audituri smart-contract pentru clienții companiei.
Aflați mai multe →
obține o Margine pe Crypto Market?
Deveniți membru CryptoSlate Edge și accesați comunitatea noastră exclusivă Discord, conținut și analize mai exclusive.
Analiza în lanț
Instantanee de preț
Mai mult context
Alăturați-vă acum pentru 19 USD / lună Explorați toate beneficiile
Sursa: https://cryptoslate.com/top-5-nft-smart-contract-vulnerabilities-to-watch-out-for/