NFT 智能合約安全專家指南：全面審視審計

Coinfomania · 2023-02-28T16:10:09.000Z
近年來，不可取代代幣（NFT）作爲編碼音樂、藝術和收藏品等獨特數位資產的手段而受到歡迎。然而，由於這些資產的潛在價值以及盜竊或詐欺可能造成的嚴重後果，NFT 及其交易平臺的安全性令人擔憂。以下是一些最典型的安全問題以及如何發現它們：智慧合約漏洞：NFT 基於區塊鏈技術，底層智慧合約可能有缺陷，可能被壞人利用。爲了找到這些漏洞，檢查程式碼並搜索已知錯誤或安全漏洞至關重要。
近年來，非同質化代幣（NFT）作爲對音樂、藝術品和收藏品等獨特數字資產進行編碼的手段而越來越受歡迎。然而，由於這些資產的潛在價值以及盜竊或欺詐可能造成的嚴重後果，NFT 及其交易平臺的安全性令人擔憂。
以下是一些最常見的安全問題及其發現方法：
智能合約漏洞：NFT 基於區塊鏈技術，底層智能合約可能存在漏洞，可能被惡意方利用。爲了找到這些漏洞，檢查代碼並搜索已知錯誤或安全漏洞至關重要。
網絡釣魚攻擊：網絡釣魚是惡意攻擊者用來竊取 NFT 或其他數字資產的一種常用技術。爲了防止這些攻擊，必須謹慎對待要求提供個人信息或賬戶訪問權限的意外電子郵件或消息。除非您非常確定它是安全的，否則切勿在線表格中輸入私人信息，並始終確認發件人的合法性。
市場操縱：具有足夠市場影響力的不良方有能力扭曲 NFT 的價值。關注市場模式並留意價格異常飆升或價格突然下跌以發現這些操縱至關重要。
存儲不安全：如果 NFT 存儲在去中心化平臺或個人錢包中，如果存儲不安全，它們可能會丟失或被盜。使用安全的錢包並採取預防措施保護對錢包的訪問，例如使用雙因素身份驗證或硬件錢包，以保護 NFT 的安全。
重大 NFT 黑客攻擊
2021 年幣安黑客事件：2021 年 5 月，最大的加密貨幣交易所之一幣安報告稱其遭遇安全漏洞，導致包括 NFT 在內的價值超過 4000 萬美元的加密貨幣被盜。
2021 年 Gnosis Safe 遭黑客攻擊：2021 年 4 月，流行的以太坊錢包 Gnosis Safe 中存在一個漏洞，被一名黑客利用，竊取了價值超過 1300 萬美元的加密貨幣，其中包括 NFT。
2021 年 Basis by Art Station 遭受黑客攻擊：2021 年 2 月，Basis by Art Station 平臺遭遇安全漏洞，導致包括 NFT 在內的價值超過 100 萬美元的加密貨幣被盜。
OpenSea NFT 市場的一個重大漏洞使黑客能夠在 2022 年 1 月以大幅折扣從客戶那裏購買有價值的 NFT。據區塊鏈反洗錢分析公司 Elliptic 稱，五名攻擊者利用該漏洞購買了至少 12 個 NFT，包括來自 Bored Ape Yacht Club、Mutant Ape Yacht Club 和 Cool Cats NFT 的 NFT。
不法分子還利用 Larva Labs 的官方服務器劫持或冒充其他 NFT 項目的官方服務器，包括 NFT 社區廣受歡迎的聊天平臺 Discord。去年 12 月，一名黑客入侵了由香港商人創立的 NFT 集合 Monkey Kingdom Discord 服務器，並使用網絡釣魚計劃從潛在購買者手中竊取了 7,000 個 Solana，價值近 130 萬美元。
對於 NFT 領域來說，涉及版權侵權的問題並不是什麼新鮮事。OpenSea 在最近的一條推文中聲稱，使用其免費鑄幣工具製作的作品中，垃圾郵件、虛假收藏和抄襲作品佔了 80% 以上。
CryptoSlam 的 Calpu 向 Forkast 表示，抄襲作品一直是 NFT 行業的問題，並且將繼續存在。因此，對於購買者來說，通過各種渠道驗證他們實際上是從信譽良好的作者那裏購買 NFT 至關重要，無論該來源是市場還是社交網絡確認。
黑客爲何選擇攻擊NFT？
由於這些數字資產的巨大價值和獨特性，以及市場相對寬鬆的監管，黑客將目標對準了 NFT。由於安全措施不足，NFT 可能會在某些 NFT 平臺和基礎設施上受到攻擊。由於在區塊鏈技術上跟蹤 NFT 交易的挑戰，黑客可能會發現保持匿名更爲簡單。由於 NFT 流動性高，易於交易和轉換爲其他加密貨幣，因此也是黑客的理想目標。保護數字資產並警惕潛在的攻擊對於保護 NFT 至關重要。這需要進行智能合約審計，設置安全存儲選項，並隨時瞭解最新的安全最佳實踐。NFT 持有者可以通過採取這些預防措施來保護他們的投資並降低被盜或丟失的可能性。
NFT 的頂級區塊鏈
NFT 項目的特定需求和標準將決定使用哪個區塊鏈。NFT 的頂級區塊鏈平臺包括：
以太坊：以太坊支持ERC-721和ERC-1155標準，它也擁有強大的開發社區並支持智能合約。
幣安智能鏈（BSC）：低交易費用和快速處理時間是這種高性能區塊鏈的特點
Polygon（原名 Matic Network）：這是以太坊的第 2 層擴展解決方案，提供更高的可負擔性和可擴展性。
Flow：專爲數字資產和 NFT 創建的區塊鏈，可實現快速且廉價的交易
WAX 是一個去中心化的市場，允許購買、出售和交易虛擬資產，包括 NFT。
NFT 項目中智能合約審計的原因：
安全性：識別並修復自執行代碼中的漏洞，提高整體 NFT 安全性。
可靠性：確保支持高價值交易的智能合約按預期運行。
合規性：確保 NFT 項目符合監管要求或行業標準。
聲譽：通過智能合約技術防止安全漏洞和其他問題，以維護項目的聲譽和投資者的信任。
概括：
社會工程學和智能合約漏洞可用於竊取 NFT。社會工程學技術可以誘使用戶將 NFT 轉移到惡意地址，而漏洞則允許在未經同意的情況下掛載 NFT。
通過進行例行安全審計並提出改進建議，智能合約審計員可以爲 NFT 的保護做出重大貢獻。用戶必須跟上最新的安全威脅並採取預防措施來保護他們的 NFT，以降低 NFT 被入侵的可能性。
參考： 
Amanda Hetler，《避免 NFT 騙局的 8 種方法》，2022 年 5 月，《Tech Target 雜誌》
關於 NFT 黑客和詐騙的專題報道，Forkast 新聞
蘭斯頓·托馬斯 (Langston Thomas)，《NFT 騙局：如何保護您的錢包免受黑客攻擊》，2023 年 1 月 31 日，《NFT Now 雜誌》
Wisdom Sablah，《2023 年最常見的 5 種 NFT 騙局：假 NFT 項目、哄擡和拋售計劃等》，2022 年 12 月，Cloudwards
《NFT 智能合約安全專家指南：全面審視審計》一文最先出現在 Coinfomania 上。