5 najważniejszych luk w zabezpieczeniach inteligentnych kontraktów NFT, na które należy uważać

Od momentu powstania sektor NFT doświadczył kilku problemów, co wzbudziło obawy wielu osób, że NFT nie są tak bezpieczne, jak wcześniej sądzono. Jednak problem nie leży w samych NFT.

NFT są w rzeczywistości inteligentnymi kontraktami i kontrakty te są podatne na luki w zabezpieczeniach. W istocie inteligentne kontrakty to po prostu kod, a im bardziej złożony jest kod, tym więcej jest miejsca na pojawienie się błędów. Oczywiście programiści mają tendencję do ciągłego przeszukiwania swojego kodu w poszukiwaniu błędów i luk w zabezpieczeniach, ale nawet po szeroko zakrojonych poszukiwaniach jedna lub dwie wady mogą nadal pozostać i powodować problemy w przyszłości, zwłaszcza jeśli złym aktorom uda się je zidentyfikować.

Dlatego w dalszym ciągu należy przeprowadzać audyty bezpieczeństwa, ponieważ kod inteligentnych kontraktów wymaga większej uwagi. Wtedy i tylko wtedy inteligentne kontrakty – i do pewnego stopnia NFT – będą mogły zostać odpowiednio zabezpieczone.

Przyjrzyjmy się niektórym z bardziej powszechnych, ale wciąż dość niebezpiecznych wad, które zwykle występują w inteligentnych kontraktach:

Luki w zabezpieczeniach sprzedaży tokenów NFT

Pierwszą okazją, dla której nieuczciwi aktorzy muszą wykorzystać wady inteligentnych kontraktów, aby zakłócić projekt NFT, jest sprzedaż tokenów. Jednym z najbardziej godnych uwagi przykładów jest sprzedaż tokenów Adidas NFT.

W trakcie wyprzedaży atakującemu udało się ominąć limity maksymalnej liczby zakupionych tokenów do portfela. W rezultacie hakerowi udało się zdobyć 330 NFT, trwale zakłócając udaną debiutancką kolekcję NFT Adidasa „Into the Metaverse”. Aby to osiągnąć, haker musiał jedynie usunąć limit mówiący, że na jeden portfel Ethereum można zdobyć tylko dwa NFT.

Luki w zabezpieczeniach rynku

Następna wada niekoniecznie dotyczy samych NFT, ale rynków, na których można je znaleźć. Jednym z przykładów jest OpenSea, największy rynek NFT na świecie. Nie tak dawno temu OpenSea padło ofiarą ataku, podczas którego sprawcy udało się kupić monety po ich dawnej cenie.

Ta luka umożliwiła kilku osobom zakup cennych NFT po cenach znacznie niższych od wartości rynkowej tokenów. Najbardziej godnym uwagi projektem, na który miało to wpływ, był Bored Ape Yacht Club, którego jeden z jego NFT (nr 9991) został zakupiony za 0.77 ETH, a atakujący mógł go odsprzedać za 84.2 ETH.

Ujawnione klucze prywatne

Trzeci problem, o którym chciałbym wspomnieć, nie jest specyficzny dla NFT. W rzeczywistości jest częścią branży kryptograficznej od początku istnienia branży kryptograficznej. Polega ona na bezpiecznym przechowywaniu kluczy prywatnych, które służą do uzyskiwania dostępu do portfeli i dokonywania płatności.

Hakerzy zidentyfikowali wiele metod, które można wykorzystać przeciwko niedoinformowanym inwestorom w celu kradzieży ich kluczy prywatnych i uzyskania dostępu do ich monet i tokenów. Jedną z najczęściej stosowanych metod jest phishing. Po raz kolejny na myśl przychodzi OpenSea, ponieważ niedawno padła ofiarą ataku phishingowego, podczas którego użytkownicy myśleli, że wysyłają transakcje do sieci.

Zamiast tego haker nakłonił ich do podpisania danych za pomocą MetaMask, a za pomocą ich podpisu atakującemu udało się ukraść ich fundusze.

Ataki z ponownym wejściem

Inny rodzaj ataku to atak ponownego wejścia i dotyczy on najpopularniejszego standardu NFT firmy OpenZeppelin. Zasadniczo najpopularniejsza implementacja standardu NFT w OpenZeppelin ma funkcję wywołania zwrotnego.

Zasadniczo jest to funkcja, która ma pomóc programistom zintegrować NFT z projektami, ale problem polega na tym, że można ją również niewłaściwie wykorzystać do przeprowadzania ataków typu „re-entry”, pod warunkiem, że twórcy kodu byli na tyle nieostrożni, że zapomnieli zapewnić przed nimi ochronę. Jeden z najnowszych przykładów tego ataku miał miejsce 3 lutego, kiedy kontrakt HypeBeast NFT zgłosił transakcję ataku.

W projekcie obowiązywał limit liczby NFT, które można wybić na koncie, ale osoby atakujące wykorzystały funkcję wywołania zwrotnego, aby ponownie wywołać funkcję mintNFT.

Oszustwa i dywaniki NFT

Było tego wiele przykładów, takich jak Cool Kittens, które obiecywały inwestorom elektroniczny token z grafiką kota, specjalnie zbudowany token o nazwie PURR i członkostwo w DAO. Wszystkie raczej standardowe obietnice, które zrealizowano i zrealizowano w wielu projektach NFT. Cool Kittens jednak tego nie zrobiło. Zaledwie trzy tygodnie po ogłoszeniu kolekcji NFT rozpoczęto bicie monet, a monety NFT trafiły do ​​sprzedaży. Projekt eksplodował, sprzedając ponad 2,200 NFT w ciągu zaledwie kilku godzin po cenie 70 dolarów za sztukę.

Twórcy zebrali 160,000 XNUMX dolarów od globalnej publiczności kupujących kryptowaluty, a następnie po prostu zniknęli wraz z pieniędzmi. To tylko jeden przykład czegoś, co jest dość powszechne w branży kryptowalut, dlatego każdy, kto uczestniczy w jakiejkolwiek sprzedaży tokenów, powinien o tym pamiętać i zachować szczególną ostrożność.

Wnioski

Sektor NFT zapewnia wiele możliwości w zakresie dość satysfakcjonujących inwestycji, ale można go również wykorzystać przeciwko inwestorom ze względu na szereg różnych luk w zabezpieczeniach. Nie zawsze tak jest, ponieważ czasami wada może leżeć po stronie rynku, który je sprzedaje, inwestorów, którzy nie wiedzą, jak się chronić, lub nawet twórców NFT, którzy chcą oszukać społeczność i zniknąć ze swoimi pieniędzmi .

Jedynym sposobem ochrony inwestorów przed tym jest przeprowadzanie audytów inteligentnych kontraktów w projektach, a platformy handlowe regularne sprawdzanie systemów pod kątem błędów i wad. Jeśli chodzi o samych inwestorów, jedyne, co mogą zrobić, to zachować ostrożność i zdobywać wiedzę na temat zagrożeń, jakie mogą napotkać, oraz tego, co zrobić, jeśli napotkają którykolwiek z tych lub innych problemów.