NFT 的核心是智能合約,但它們可能包含使你的投資面臨風險的錯誤和漏洞? 問題並不在於 NFT 本身…
NFT 實際上是智能合約,而這些合約可能存在漏洞。本質上,智能合約只是代碼,當代碼越複雜,錯誤出現的空間就越大。通常開發人員傾向於一次又一次地梳理他們的代碼中的錯誤和漏洞,但即使經過廣泛多番的梳理,仍然可能存在一兩個缺陷並在未來引發問題,尤其是當別有居心者設法識別出它們的時候。這進一步解釋了我們為什麼仍然應該為智能合約進行安全審計,因為智能合約的代碼需要更多的關注,只有這樣,智能合約在某種程度上才能讓 NFT 得到充分保護。
歸納 5 個相當危險的潛在缺陷
(1) NFT 銷售漏洞
別有居心的人/ 黑客利用智能合約缺陷來破壞 NFT 項目的第一個機會是在公開銷售期間。最著名的例子之一是 Adidas NFT 銷售 —— 隨著銷售的進行,攻擊者設法繞過了錢包的最大購買限制。結果,黑客成功獲得了 330 個 NFT,永久性地破壞了Adidas 首個 NFT 系列,和 “進入元宇宙” 計劃的成功。為了實現這一點,黑客所要做的就是取消每個以太坊(Ethereum)錢包只能獲得兩個 NFT 的限制。
(2) 交易市場漏洞
不久前, OpenSea,世界上最大的 NFT 市場遭受了一次攻擊,攻擊方設法以舊價格購買了加密貨幣,這個漏洞允許幾個人以遠低於市場價值的價格購買有價值的 NFT。受此影響的最值得注意的項目是 Bored Ape Yacht Club 其中一個 NFT (#9991),成功被黑客通過市場漏洞以 0.77 以太幣(ETH)的價格購買,並以 84.2以太幣(ETH)的價格轉售。
圖片來源: Business Focus
(3) 公開的私鑰
這個問題並不是 NFT 特有的,自從有加密行業以來,圍繞著用於訪問錢包和進行支付的私鑰的安全存儲展開 —— 它一直是加密行業的一部分。黑客已經確定了許多可以用來對付不知情的投資者的方法,以竊取他們的私鑰並訪問他們的硬幣和代幣。最常用的方法之一是網絡釣魚。就像 OpenSea 最近遭受的網絡釣魚攻擊一樣,使得用戶誤認為他們正在向網絡發送交易。相反,一名黑客欺騙他們使用 MetaMask 對數據進行簽名,並在他們的簽名的幫助下,攻擊者設法竊取了他們的資金。
(4) 重入攻擊
這種攻擊涉及 OpenZeppelin 最流行的 NFT 標準。OpenZeppelin 最流行的 NFT 標準有一個回調函數,本質上,它是一個旨在幫助開發人員將 NFT 整合到項目中的功能,但如果代碼開發人員忘記其提供針對性的保護,它也可以被利用來進行重入攻擊(reentrancy attack)。
該攻擊的最新例子發生在 2 月 3 日, HypeBeast NFT 合約報告了攻擊交易。該項目對每一個帳戶可以鑄造(Minting)的 NFT 數量設定了限制,但攻擊者使用回調函數再次調用到了鑄造 NFT 的功能。
(5) NFT 騙局
騙局、跑路的例子有很多,例如: Cool Kittens,它向投資者承諾了一個帶有貓藝術的電子代幣,一種名為 PURR 的專用代幣,以及 DAO 的成員資格,等。雖然許多 NFT 項目已經做出並兌現了所有相當標準的承諾;然而 Cool Kittens沒有。在宣布 NFT 收藏後僅三週,鑄造開始、 NFT 開始出售 —— 該項目爆炸式增長,僅在幾個小時內就以 70 美元的價格售出了 2,200 多個 NFT。開發人員從全球加密貨幣買家收集了 160,000 美元,此後他們就隨錢消失。這只是加密行業中相當常見的事情的一個例子,因此任何參與任何形式的代幣銷售的人都需要牢記這點並格外小心。
結論
NFT 領域為相當有回報的投資提供了大量機會,但它也可以通過許多不同的漏洞被用來對付投資者,使之遭受損失。漏洞或缺陷並非總是出現在合約身上,有時缺陷可能在於出售它們的市場不知道如何保護自己的投資者,甚至希望欺騙社區並帶著錢消失的 NFT 開發者,等。
項目保護投資者免受此影響的其中一個重要方法就是需要對其智能合約進行審計,並讓市場定期檢查其係統是否存在錯誤和缺陷。作為投資者,能做的就是謹慎行事,做好功課,並努力對自己可能遇到的威脅進行積極的學習、提升認知,預先規劃好應對措施。
相關:ADAC 區塊淺釋 | 一文讀懂 智能合約及其運作原理
🚀 搶先看新聞 享受獨家空投 🌈 一按加入 Telegram Web3 關注組 ✴️
