5 kelemahan kontrak pintar NFT teratas untuk diperhatikan

Sektor NFT telah mengalami beberapa masalah sejak ia muncul yang membuatkan ramai orang bimbang bahawa NFT tidak selamat seperti yang disangkakan sebelum ini. Walau bagaimanapun, masalahnya bukan terletak pada NFT sendiri.

NFT sebenarnya adalah kontrak pintar, dan kontrak ini tertakluk kepada kelemahan. Pada dasarnya, kontrak pintar hanyalah kod, dan lebih kompleks kod itu, lebih banyak ruang untuk ralat muncul. Sudah tentu, pembangun cenderung untuk menyikat kod mereka untuk ralat dan kelemahan dari semasa ke semasa, tetapi walaupun selepas carian yang meluas — satu atau dua kecacatan masih boleh kekal dan menyebabkan masalah di hadapan, terutamanya jika pelakon jahat berjaya mengenal pasti mereka.

Inilah sebabnya mengapa audit keselamatan masih perlu dijalankan, kerana kod kontrak pintar memerlukan perhatian yang lebih besar. Kemudian, dan hanya selepas itu kontrak pintar - dan pada tahap tertentu, NFT - dijamin dengan secukupnya.

Mari kita lihat beberapa kelemahan yang lebih biasa tetapi masih agak berbahaya yang cenderung terdapat dalam kontrak pintar:

Kelemahan penjualan token NFT

Peluang pertama pelakon jahat menggunakan kelemahan kontrak pintar untuk mengganggu projek NFT adalah semasa penjualan token. Salah satu contoh yang paling ketara ialah jualan token Adidas NFT.

Semasa jualan sedang dijalankan, penyerang berjaya memintas had token maksimum yang dibeli untuk dompet. Akibatnya, penggodam berjaya menjaringkan 330 NFT, secara kekal mengganggu koleksi NFT sulung Adidas "Into the Metaverse." Apa yang perlu dilakukan oleh penggodam untuk mencapai ini ialah mengeluarkan had yang mengatakan bahawa hanya dua NFT boleh dijaringkan bagi setiap dompet Ethereum.

Kelemahan pasaran

Kecacatan seterusnya tidak semestinya melibatkan NFT itu sendiri, tetapi pasaran tempat ia boleh ditemui. Salah satu contoh ini ialah OpenSea, pasaran NFT terbesar di dunia. Tidak lama dahulu, OpenSea mengalami serangan di mana pihak yang bersalah berjaya membeli syiling pada harga lama mereka.

Kelemahan ini membolehkan beberapa orang membeli NFT berharga pada harga yang ketara di bawah nilai pasaran token. Projek paling ketara yang terjejas oleh ini ialah Kelab Yacht Ape Bored, dengan salah satu NFTnya (#9991) dibeli dengan harga 0.77 ETH, hanya untuk penyerang menjualnya semula dengan harga 84.2 ETH.

Kunci persendirian terdedah

Masalah ketiga yang ingin saya nyatakan adalah tidak khusus untuk NFT. Malah, ia telah menjadi sebahagian daripada industri kripto sejak wujudnya industri kripto. Ia berkisar pada penyimpanan kunci persendirian yang selamat, yang digunakan untuk mengakses dompet dan menjalankan pembayaran.

Penggodam telah mengenal pasti banyak kaedah yang boleh digunakan terhadap pelabur yang tidak berpengetahuan untuk mencuri kunci peribadi mereka dan mengakses syiling dan token mereka. Salah satu kaedah yang paling biasa digunakan ialah pancingan data. Sekali lagi, OpenSea terlintas di fikiran, kerana ia baru-baru ini mengalami serangan pancingan data, di mana pengguna menyangka bahawa mereka menghantar transaksi ke rangkaian.

Sebaliknya, seorang penggodam menipu mereka untuk menandatangani data menggunakan MetaMask, dan dengan bantuan tandatangan mereka, penyerang berjaya mencuri dana mereka.

Serangan masuk semula

Satu lagi jenis serangan dikenali sebagai serangan masuk semula, dan ini melibatkan standard NFT OpenZeppelin yang paling popular. Pada asasnya, pelaksanaan standard NFT OpenZeppelin yang paling popular mempunyai fungsi panggil balik.

Pada asasnya, ia adalah fungsi yang bertujuan untuk membantu pembangun menyepadukan NFT ke dalam projek, tetapi masalahnya ialah ia juga boleh disalahgunakan untuk menjalankan serangan kemasukan semula, dengan syarat pembangun kod cukup cuai sehingga terlupa memberikan perlindungan terhadapnya. Salah satu contoh terkini serangan ini berlaku pada 3 Februari apabila kontrak HypeBeast NFT melaporkan transaksi serangan.

Projek ini mempunyai had pada bilangan NFT yang boleh digunakan oleh akaun, tetapi penyerang menggunakan fungsi panggil balik untuk menggunakan fungsi mintNFT sekali lagi.

Penipuan dan permaidani NFT

Terdapat banyak contoh perkara ini, seperti Cool Kittens, yang menjanjikan pelabur token elektronik dengan seni kucing, token yang dibina khas dipanggil PURR dan keahlian dalam DAO. Semua janji yang agak standard bahawa banyak projek NFT telah dibuat dan disampaikan. Cool Kittens, bagaimanapun, tidak. Hanya tiga minggu selepas mengumumkan koleksi NFT, pencetakan bermula, dan NFT mula dijual. Projek itu meletup, menjual lebih 2,200 NFT dalam beberapa jam sahaja, dengan harga $70 setiap satu.

Pembangun mengumpul $160,000 daripada khalayak global pembeli dalam crypto, dan kemudian mereka hilang begitu sahaja dengan wang itu. Ini hanyalah satu contoh sesuatu yang agak biasa dalam industri kripto, jadi sesiapa yang mengambil bahagian dalam sebarang jenis jualan token harus mengingatinya dan berhati-hati.

Kesimpulan

Sektor NFT menyediakan banyak peluang untuk pelaburan yang agak menguntungkan, tetapi ia juga boleh digunakan terhadap pelabur melalui beberapa kelemahan yang berbeza. Ini tidak selalu berlaku, kerana kadangkala, kelemahannya mungkin terletak pada pasaran yang menjualnya, pelabur yang tidak tahu cara melindungi diri mereka sendiri, malah dengan pembangun NFT, yang ingin menipu komuniti dan hilang dengan wang mereka .

Satu-satunya cara untuk melindungi pelabur daripada perkara ini adalah untuk projek menjalankan audit kontrak pintar mereka, dan untuk pasaran sentiasa menyemak sistem mereka untuk mengesan pepijat dan kecacatan. Bagi pelabur sendiri, satu-satunya perkara yang boleh mereka lakukan ialah berhati-hati dan berusaha untuk mendidik diri mereka tentang ancaman yang mungkin mereka hadapi, dan apa yang perlu dilakukan jika mereka menghadapi mana-mana isu ini atau isu lain.