NFT:瘋狂“出圈”和刷屏之后 Web3.0熱潮下的NFT安全如何保證？_NFTART

最近一段時間，Web3.0不斷“刷屏”，NFT瘋狂“出圈”，有人擼空投，有人搞收藏，有人說，NFT的爆炸性增長正在推動Web 3.0的發展。

Web1.0 到 Web2.0 實現了內容的消費者向內容生產者的轉變，其本質是進行了一次從物理世界向網絡世界的平行時空的大遷徙，當我們暢談 Web3.0 的發展時，不得不進一步提到關于區塊鏈，因為區塊鏈的去中心化、去信任和防篡改的特性很好的對標了 Web3.0 的目標——創造新一代互聯網，讓每個用戶掌握自己的數據、身份和命運。

Web3.0基于區塊鏈而存在，承諾將隱私和數字身份還給用戶，同時由于NFT等的應用，實現了新的互動水平。但我們更需要的是Web3.0熱潮下NFT的諸多“危險”與“隱患”，最近NFT領域隨處可見的“黑客事件”也證明了我們需要將“安全”放在第一位。

動態 | 加密網站評選2019五大瘋狂事件 孫宇晨巴菲特午餐等入選:加密網站Bitcoinist近日評選出了2019五大加密領域的“瘋狂事件”，分別為：1、孫宇晨與巴菲特的加密午餐；2、Craig Wright的“生銹的釘書釘和咖啡漬”，（指澳本聰證明其為中本聰的證據：比特幣白皮書舊版本上面留有他的咖啡漬以及生銹的釘書釘）；3、TRON特斯拉贈品災難（指孫宇晨“抽獎送特斯拉”的活動或存在作弊行為）；4、加密貨幣交易所Poloniex退市DigiByte；5、Binance放棄了BTT。[2019/12/26]

4月21日，NBA的NFT項目合約遭受攻擊，攻擊者利用了簽名未驗證，在合約代碼中，vData memory參數info在傳入函數中未進行驗證導致簽名可復用，攻擊者可以通過使用其他人的簽名來進行Mint，導致項目方被瘋狂“薅羊毛”。

動態 | 彭博報道稱交易機器人正在加密交易所瘋狂運行，比特幣隔夜一度“聞訊下跌”:據彭博今日凌晨報道稱，在部分數字貨幣交易所，市場操縱問題極其猖獗，交易算法打造的機器人通過相對于普通用戶的優勢，以犧牲用戶利益為代價謀取暴利。報道援引康奈爾大學科技學院Philip Daian、Ari Juels等人的研究報告稱，在去中心化交易所上，由于算法交易更加直接且方便，一些專門打造的套利交易機器人便能夠利用相對于普通用戶的優勢，直接參與交易并從中謀利。Ari Juels表示，盡管去中心化交易所的交易量在整個數字貨幣市場中只占很小的一部分，但是用戶使用量預計將持續增長。此外，在中心化交易所中，這類行為可能也一樣猖獗。在上周的一場演講中，Ari Juels曾表示：從去中心化交易所呈現的情況來看，涉及的交易金額可能以十億美元計。據行情數據顯示，在這一文章發布后不久，主流幣隔夜出現過一波短暫回調，BTC一度跌穿5000USDT關口，不過目前價格已回升至5072USDT附近。[2019/4/16]

動態 | 浙江省金華市百余名嫌疑人涉嫌虛擬幣詐騙 20余天瘋狂吸金7000余萬元:據金華新聞網消息，剛剛，浙江省金華市發布通報：金東分局揭露一虛擬貨幣交易騙局，搗毀7個詐騙窩點。在西安、武漢、廣州、江西、內蒙古、甘肅等地抓獲犯罪嫌疑人百余人，凍結資金5000余萬元，查獲贓車十余輛、作案手機百余部。目前，案件正在進一步辦理中，截至3月25日，88名犯罪嫌疑人因涉嫌利用虛擬幣詐騙被金東分局和永康市局刑事拘留，26人被兩地檢察院依法批捕。該詐騙團伙注冊的其中一個平臺不到一個月的時間已經詐騙7000余萬。[2019/3/25]

而在4月23日，NFT項目Akutar驚現低級漏洞，它的AkuAuction合約由于智能合約本身漏洞，導致11539ETH（價值約3400萬美元）被鎖死在合約中。經成都鏈安技術團隊分析，發現Akutar項目的智能合約包含2個漏洞：

資產管理公司GMO聯合創始人稱比特幣是瘋狂的泡沫:波士頓資產管理公司GMO的聯合創始人及首席投資策略師杰里米·格蘭瑟姆（Jeremy Grantham）本周在致投資者的一封信中將比特幣市場描述為“真正的，瘋狂的迷你泡沫”。他在信函中表示，比特幣沒有明確的基本價值和幾乎不受管制的市場，再加上人們妄想出一個宏偉故事，這就像我們能在歷史書上找到的許多事例一樣是泡沫的本質。[2018/1/5]

第一個合約漏洞在processRefunds中，設計者根據refundProgress計數器進行循環退款，而如果有攻擊者此時在fallback中進行revert則會導致后面的人都無法進行退款，這個漏洞被人在鏈上證明但沒有進行攻擊利用。

DataTrek Research聯合創始人：比特幣2018年可能繼續瘋狂波動:據CNBC報道稱，華爾街一位最早跟蹤比特幣的分析師表示，比特幣2018年可能繼續瘋狂波動，最終將以較目前價格小幅下跌結束。DataTrek Research聯合創始人Nick Colas關注比特幣走勢至少已有4年。展望2018年，他認為這種資產將出現更多波動。預計2018年比特幣交易區間在6500-22000美元之間，估值中位14035美元接近當前比特幣價格水平，說明這一估值較為準確。[2017/12/29]

第二個漏洞在claimProjectFunds中，require語句（refundProgress > = totalBids）的totalBids變量應該是bidIndex，這個漏洞使得該判斷條件永遠失敗，導致無法執行后續的提款操作。最終，導致項目方11539ETH(價值約3400萬美元)被鎖定無法提取。

可見關注NFT合約風險，變得越來越緊迫。

根據NFTSCAN數據顯示，目前全球NFT項目已接近七萬個，而且數據還在持續增長中。

數據來源：NFTSCAN（統計時間：2022.4.25 18:00）

NFT作為Web3.0的底座，它的安全問題對行業發展同樣重要，為了護航Web3.0的安全生態，成都鏈安通過智能合約形式化驗證工具鏈必驗對上千個NFT項目進行漏洞掃描，發現NFT常見的合約問題還包括以下幾類：

業務邏輯相關問題：

此類問題可能直接導致合約的業務邏輯出錯。

漏洞描述：chapterAuctionMinted的值永遠為初始值，但是在此處使用的判斷條件中，使用了該值進行條件檢查。如果在開發期間使用[鏈必驗]掃描后，開發者可根據掃描結果判斷是否是相關邏輯缺失（可能導致NFT超量發放等業務邏輯安全問題），亦或是冗余代碼。

漏洞描述：未檢測返回值。在NFT項目中，經常存在有償鑄幣的功能，調用者需要將作為鑄幣手續費的ERC20代幣發送到NFT鑄幣合約中，然后NFT鑄幣合約為其鑄造對應數量的NFT代幣。但是部分ERC20合約存在假充值的問題，即轉賬失敗不拋出異常而是返回false，這樣就會導致一個問題，攻擊者可以利用這點，在未支付手續費的情況下，鑄造任意數量的NFT。開發者應根據VaaS掃描結果的建議，檢查transferFrom操作的返回值或者使用safeTransferFrom函數進行ERC20代幣轉賬。

代碼規范相關問題

此類問題可能不會直接造成業務邏輯出錯，但是會影響代碼的可讀性，造成合約調用時有多余的gas消耗等。同時不規范的代碼也容易導致編寫時邏輯混亂，有隱藏的邏輯錯誤的概率更高。

漏洞描述：此處循環的結束條件為curr>=0,而curr為uint導致curr>=0恒滿足。此處會導致循環無法正常結束。[鏈必驗]在掃描中會對這類結果為定值的條件進行告警，用戶可以通過提示確認此處邏輯，對條件進行刪除或修改。

漏洞描述：此處event中將string類型的數據標記了indexed，該寫法會導致在事件結果中無法直接獲得對應的string結果。建議用戶參考[鏈必驗]的提示，僅使用indexed修飾固定長度的變量。

研究發現，大多數的NFT合約都沒有進行過專業的安全審計，這就存在很大的安全隱患，容易導致攻擊事件的發生，造成資產的損失。所以NFT智能合約開發者應具備基本的安全開發意識，了解智能合約開發應注意的安全問題；此外，在合約設計和實現時，注意代碼實現的正確性。我們建議開發完成后，可使用[鏈必驗]對項目進行安全檢測。項目上線前，可選擇安全審計，規避安全風險。

安全，是區塊鏈技術能夠得以長足發展的重要保證，守護Web3.0的安全也變得愈發重要。今天我們所講的業務邏輯相關問題和代碼規范性相關問題，也是智能合約里面常見的問題類型?，后續我們將繼續推出NFT相關安全文章，請大家持續關注我們

Tags：NFT比特幣WEBWEB3.0NFTART比特幣最新價格行情美元騰訊財經web3.0幣種WEB3.0價格

比特幣價格今日行情