Top 5 ranljivosti pametnih pogodb NFT, na katere morate biti pozorni

Sektor NFT je odkar se je pojavil doživel več težav, zaradi česar je veliko ljudi skrbelo, da NFT niso tako varni, kot se je prej mislilo. Vendar pa težava ni v samih NFT.

NFT so pravzaprav pametne pogodbe in te pogodbe so predmet ranljivosti. V svojem bistvu so pametne pogodbe le koda in bolj ko je koda zapletena, več je prostora za prikaz napak. Seveda razvijalci vedno znova prečešejo svojo kodo za napake in ranljivosti, a tudi po obsežnem iskanju – napaka ali dve lahko še vedno ostaneta in povzročita težave na poti, še posebej, če jih slabi akterji uspejo prepoznati.

Zato je treba še vedno izvajati varnostne revizije, saj kodeks pametnih pogodb zahteva večjo pozornost. Potem in šele takrat je mogoče pametne pogodbe - in do neke mere, NFT - ustrezno zavarovati.

Oglejmo si nekaj pogostejših, a še vedno precej nevarnih pomanjkljivosti, ki so običajno prisotne v pametnih pogodbah:

Ranljivosti pri prodaji žetonov NFT

Prva priložnost, da morajo slabi akterji uporabiti pomanjkljivosti pametnih pogodb za motenje projekta NFT, je med prodajo žetonov. Eden najbolj opaznih primerov je prodaja žetonov Adidas NFT.

Ker je prodaja potekala, je napadalcu uspelo zaobiti omejitve največjega števila kupljenih žetonov za denarnico. Posledično je hekerju uspelo doseči 330 NFT-jev, s čimer je trajno motil Adidasovo sicer uspešno debitantsko zbirko NFT "Into the Metaverse". Vse, kar je moral heker narediti, da bi to dosegel, je odstraniti mejo, ki pravi, da je mogoče doseči le dva NFT-ja na denarnico Ethereum.

Ranljivosti na trgu

Naslednja napaka ne vključuje nujno samih NFT, temveč trge, kjer jih je mogoče najti. En primer tega je OpenSea, največja tržnica NFT na svetu. Nedolgo nazaj je OpenSea doživel napad, med katerim je kršitelju uspelo kupiti kovance po stari ceni.

Ta vrzel je več ljudem omogočila nakup dragocenih NFT po cenah, ki so bistveno nižje od tržne vrednosti žetonov. Najpomembnejši projekt, na katerega je to vplivalo, je bil jahtni klub Bored Ape, pri katerem je eden od njegovih NFT-jev (#9991) kupljen za 0.77 ETH, le da ga je napadalec preprodal za 84.2 ETH.

Izpostavljeni zasebni ključi

Tretja težava, ki bi jo rad omenil, ni specifičen za NFT. Pravzaprav je del kripto industrije, odkar obstaja kripto industrija. Gre za varno shranjevanje zasebnih ključev, ki se uporabljajo za dostop do denarnic in opravljanje plačil.

Hekerji so odkrili številne metode, ki jih je mogoče uporabiti proti neobveščenim vlagateljem za krajo njihovih zasebnih ključev in dostop do njihovih kovancev in žetonov. Ena izmed najpogosteje uporabljenih metod je lažno predstavljanje. Ponovno se spomnim OpenSea, saj je pred kratkim doživel napad lažnega predstavljanja, pri katerem so uporabniki mislili, da pošiljajo transakcije v omrežje.

Namesto tega jih je heker zavedel, da so podpisali podatke z uporabo MetaMask, in s pomočjo njihovega podpisa je napadalcu uspelo ukrasti njihova sredstva.

Napadi ponovnega vstopa

Druga vrsta napada je znana kot napad ponovnega vstopa, ta pa se nanaša na najbolj priljubljen standard NFT OpenZeppelin. V bistvu ima najbolj priljubljena implementacija standarda NFT OpenZeppelin funkcijo povratnega klica.

V bistvu je to funkcija, ki naj bi pomagala razvijalcem pri integraciji NFT-jev v projekte, težava pa je v tem, da jo je mogoče zlorabiti tudi za izvajanje napadov ponovnega vstopa, pod pogojem, da so bili razvijalci kode dovolj neprevidni, da so pozabili zagotoviti zaščito pred njimi. Eden zadnjih primerov tega napada se je zgodil 3. februarja, ko je pogodba HypeBeast NFT poročala o napadu.

Projekt je imel omejitev glede števila NFT-jev, ki jih lahko kovati račun, vendar so napadalci uporabili funkcijo povratnega klica, da so ponovno priklicali funkcijo mintNFT.

NFT prevare in preproge

Primerov tega je bilo veliko, na primer Cool Kittens, ki je vlagateljem obljubil elektronski žeton z mačjo umetnostjo, namensko izdelan žeton, imenovan PURR, in članstvo v DAO. Vse precej standardne obljube, ki jih je dalo in uresničilo veliko projektov NFT. Cool Kittens pa ni. Le tri tedne po objavi zbirke NFT se je začelo kovanje in NFT-ji so šli v prodajo. Projekt je eksplodiral in prodal več kot 2,200 NFT-jev v samo urah po ceni 70 $ na kos.

Razvijalci so zbrali 160,000 $ od svetovnega občinstva kupcev v kriptovalutih, nato pa so preprosto izginili z denarjem. To je le en primer nečesa, kar je precej pogosto v kripto industriji, zato bi morali vsi, ki sodelujejo pri kakršni koli prodaji žetonov, to upoštevati in biti izjemno previdni.

zaključek

Sektor NFT ponuja veliko priložnosti za precej koristne naložbe, vendar ga je mogoče uporabiti tudi proti vlagateljem zaradi številnih različnih ranljivosti. To ni vedno tako, saj je včasih napaka lahko na trgu, ki jih prodaja, vlagateljem, ki se ne znajo zaščititi, ali celo v razvijalcih NFT, ki želijo prevarati skupnost in izginiti s svojim denarjem. .

Edini način za zaščito vlagateljev pred tem je, da projekti izvajajo revizije svojih pametnih pogodb in da trgi redno preverjajo svoje sisteme glede napak in napak. Kar se tiče samih vlagateljev, je edina stvar, ki jih lahko storijo, je, da so previdni in si prizadevajo, da se poučijo o grožnjah, s katerimi bi se lahko srečali, in kaj storiti, če naletijo na katero od teh ali drugih težav.