Læsetid: 5 minutter
Lær at sikre din markedsplads mod berygtede hacks derude.
NFT'er, dette udtryk har været en hype i de sidste par år. Den brede vifte af anvendelsesmuligheder, den har, er utænkelig. At optage ejendomsbesiddelser til spil i den skala, det kan bruges på, er fascinerende. Det samme er markedspladsen for NFT'er.
NFT marketplace er en platform, der letter og gør NFT overdragelse af ejerskab lettere og har NFT markedspladsregler for køb og salg. Det er et sted, hvor forskellige NFT'er er opført til salg, og forskellige købs- og budmekanismer forbedrer sælgernes oplevelse. Købere har en god oplevelse drevet af sikkerheden ved smarte kontrakter.
Men tænk et øjeblik på, hvor afgørende det bliver for markedspladserne at forblive sikre og beskytte sig selv og deres brugere mod svindel og hacks. Forestil dig, hvor meget tab ville resultere, hvis markedspladsens smarte kontrakter blev kompromitteret. Selv en enkelt sårbarhed kan føre til tab af millioner af dollars. Det her er lige så skræmmende, som det lyder. Markedspladsen skal være på tæerne hver gang for at sikre sikkerheden og sikkerheden for sine brugere mod stadigt udviklende og fremrykkende web3-sikkerhedstrusler. Vi hos QuillAudit forstår behovet for timen og bringer nogle vigtige tips til at hjælpe med at sikre NFT-markedspladsen. Lad os se på dem én efter én.
Retningslinier
Dette afsnit vil se på tips og nft-markedsplads-tjeklister for at hjælpe din markedsplads med at forblive sikker i den stadigt fremadskridende bølge af udnyttelser.
1. Kun ejerfunktioner
Det er de funktioner, som kun markedspladsen har adgang til. Kun markedspladsen kan udføre dem, og ingen anden køber eller sælger af NFT. Disse funktioner er meget nyttige til at overvåge, at platformen fungerer glat. Men hvis det ikke implementeres korrekt, kan det koste dig din markedsplads.
Der bør fx ikke være et tilfælde, hvor gebyrparametre kan sættes til 100, så sælgere ikke tjener noget, og hele salgsbeløbet går til ejeren(markedspladsen). Hvis dette er tilfældet, vil ingen brugere stole på markedspladsen, og markedspladsen vil ikke vokse. Der bør være en ordentlig kontrol af inputparametre for disse funktioner.
2. Automatiserede bots
Automatiserede bots er programmer, der kører på egen hånd uden megen menneskelig indblanding. Disse bots kan påvirke NFT-salget, hæve priserne og deltage i begrænsede NFT-dråber eller -lanceringer. Alle disse er afgørende og kan have stor indflydelse på markedet.
Bots kan afbødes, afskrækkes, blokeres og nedsættes, men du skal først identificere botten på platformen, hvilket er næsten umuligt. For at redde din platform fra sådanne angreb er den bedste måde at kontakte nft auditors og outsource dette til Web3 sikkerhed virksomheder som QuillAudits, som kan hjælpe dig med at rette op på det og rådgive dig om, hvordan du kommer videre.
3. Betalingsfunktioner
Vi skal grundigt teste og kontrollere betalingsfunktioner i vores markedspladskontrakter, såsom buy()-funktioner. Du kan se, når vi har mange IF-betingelser, er dens kontrakter åbne for sårbarheder, så vi skal sikre, at vi aldrig går glip af vigtige kontroller i sådanne scenarier. For eksempel kan der være forhold, hvor funktionen modtager ether fra køberen og består funktionen, men undlader at udføre nogle kritiske operationer, hvilket resulterer i enten at blive hængende i kontrakten, hvilket er vigtigt at bemærke og løse.
4. Bud-relaterede checks
Budgivning er en afgørende funktion af markedspladsen for brugerne. Men denne funktionalitet kan medføre en masse fejl, hvis den ikke bliver taget hånd om. Lad os se nogle vigtige og nødvendige kontroller:
- Det er meget vigtigt at sikre, at når et nyt bud afgives, er det af indlysende årsager altid større end det tidligere bud.
- Overfører du 'budplaceringstoken' (f.eks. usdc) til kontrakten (dvs. adresse(dette))? Tjek beregningerne grundigt.
- Når NFT-salget er slut, hvordan kan vinderen så gøre krav på NFT? Her bør NFT være med selve kontrakten (dvs. adresse(denne)), så den kan overføre den til brugeren. Og NFT skal også sendes til det højeste budbeløb. Igen, her tjek beregningerne.
- Hver gang et nyt bud afgives, skal den tidligere budgiver få tilbageført sit budbeløb. Nogle gange savnes denne afgørende, men simple funktionalitet, eller der er beregningsfejl. Så sørg for at skrive testcases til dette.
5. Nogle almindelige kontroller
I dette afsnit vil vi dække nogle af de almindelige kontroller, som udviklere skal tjekke for smarte kontrakter på markedet, det kan være almindeligt, men det er ikke trivielt. Nogle af nft smart contract sårbarheder forårsaget af disse ukontrollerede forhold kan føre til store tab; det ønsker vi ikke. Lad os tage et kig på dem.
- Tjek om der er brugt et orakel. Kan det orakel manipuleres til at give forkerte svar?
- Gennotering af en NFT til en ny pris uden at annullere den tidligere notering burde ikke være mulig på NFT-platforme.
- Kun autoriserede brugere bør kunne købe NFT ved at betale gebyret. Du bør altid overveje at dobbelttjekke gebyrfradragsberegningen.
- Kontroller, at alle eksterne opkald foretages fra Marketplace-kontrakten. Hvis der er eksterne opkald til nogle upålidelige kontrakter i kæden, kan du overveje at bruge Reentrancy Guards til beskyttelse.
- Tjek for muligheder for frontløb. En person, der står foran en transaktion, bør ikke være i stand til at drage fordel af kontraktlogikken til at opnå NFT'er for rabatter, betale mindre gebyr osv.
- Hvis der er brug af spotkursen til at bestemme nogle gebyrer eller købsprisen, skal du kontrollere, om den kan manipuleres. Er det sårbart over for Flash-lånsangreb? Du bør aldrig stole på spotprisen for udveksling og bruge et orakel for priser.
- Sørg for, at URI'erne for NFT'er ikke kan ændres, når de først er indstillet, og at metadataene er gemt på et decentraliseret fillagringssystem i stedet for centraliseret lager, som nemt kan manipuleres for at undgå Rug Pulls.
- Tjek, om NFT'en forbliver opført til salg, selv efter at brugeren har fjernet den fra salget på markedspladsen. Denne fejl blev fundet i en af de mest populære NFT-platforme, hvilket resulterede i, at ejere mistede NFT'er.
- Ingen logik i NFT-markedspladsen bør afhænge af godkendelsen af NFT til kontraktadressen. Den skal altid bruge transferFrom-funktionen fra sælger til sig selv, når den opretter et nyt salg. Således at når salget er afsluttet, kan NFT direkte overføres til køber uden at være afhængig af sælgers godkendelse.
Konklusion
Der er mange NFT'er derude til en værdi af millioner af dollars. Forestil dig, hvad deres værdi ville reducere til, hvis NFT-markedspladserne blev kompromitteret. Ingen markedsplads ville ønske det. Ser du, markedspladsplatforme kører med brugernes tillid. Brugerne skal føle sig beskyttede og sikre ved at bruge platforme til deres fulde potentiale.
Ovennævnte kontroller er afgørende og hjælper dig med at redde din markedsplads fra angreb. Alligevel beder sikkerheden som bekendt altid om mere. Der er stadigt fremadskridende angreb på værdifulde protokoller, og for at forblive sikre fra dem, har vi brug for regelmæssig revision af vores kontrakter, og hvem er bedre end QuillAudits til at gøre dette? Med et team af erfarne eksperter hjælper vi dig med at sikre dine protokoller og sikre din fulde sikkerhed. Tjek vores hjemmeside og få dit Web3-projekt sikret!
11 Views
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://blog.quillhash.com/2023/03/07/nft-marketplace-smart-contract-audit-guidelines/
- :er
- 100
- 7
- 8
- 9
- a
- I stand
- adgang
- adresse
- Fordel
- Efter
- Alle
- altid
- beløb
- ,
- svar
- godkendelse
- ER
- AS
- At
- Angreb
- revision
- revision
- revisorer
- Automatiseret
- tilbage
- BE
- være
- BEDSTE
- Bedre
- bud
- blokeret
- Bot
- bots
- bringe
- Bug
- bugs
- købe
- købere
- Købe
- by
- beregninger
- Opkald
- CAN
- kan ikke
- hvilken
- tilfælde
- tilfælde
- forårsagede
- kæde
- kontrollere
- Kontrol
- krav
- Fælles
- Virksomheder
- fuldføre
- Kompromitteret
- betingelser
- Overvej
- kontakt
- kontrakt
- kontrakter
- Koste
- kunne
- dæksel
- Oprettelse af
- kritisk
- afgørende
- decentral
- Afhængigt
- Bestem
- udviklere
- forskellige
- direkte
- rabatter
- dollars
- dobbelttjek
- Drops
- e
- tjene
- lettere
- nemt
- enten
- sikre
- fejl
- etc.
- Ether
- Endog
- Hver
- eksempel
- udveksling
- udføre
- erfaring
- erfarne
- eksperter
- exploits
- ekstern
- letter
- mislykkes
- fascinerende
- gebyr
- Gebyrer
- få
- File (Felt)
- Fornavn
- Fix
- Blink
- Til
- fundet
- bedrageri
- fra
- funktion
- funktionalitet
- funktioner
- Gevinst
- Spil
- få
- få
- Giv
- Goes
- godt
- større
- Grow
- retningslinjer
- hacks
- Have
- stærkt
- tunge
- hjælpe
- link.
- højeste
- Hvordan
- How To
- HTTPS
- menneskelig
- Hype
- i
- identificere
- KIMOs Succeshistorier
- implementeret
- vigtigt
- umuligt
- in
- indgang
- indgriben
- IT
- ITS
- selv
- Holde
- Kend
- Efternavn
- lanceringer
- føre
- ligesom
- Limited
- Børsnoterede
- notering
- lån
- Se
- miste
- off
- Lot
- lavet
- lave
- maerker
- manipuleret
- mange
- markedsplads
- markedspladser
- Metadata
- millioner
- øjeblik
- mere
- mest
- Mest Populære
- nødvendig
- Behov
- behov
- Ny
- NFT
- nft falder
- nft markedsplads
- NFT markedspladser
- NFT platforme
- nft salg
- nft salg
- NFT'er
- berygtet
- Obvious
- of
- on
- På stedet
- ONE
- åbent
- Produktion
- oracle
- Andet
- outsource
- egen
- ejer
- ejere
- ejerskab
- parametre
- deltage
- gennemløb
- Betal
- betale
- Place
- anbringelse
- perron
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- Populær
- ejendele
- muligheder
- mulig
- potentiale
- strøm
- tidligere
- pris
- Priser
- programmer
- projekt
- passende
- korrekt
- ejendom
- beskyttet
- beskyttelse
- protokoller
- Sweatre & trøjer
- Quillhash
- hellere
- årsager
- modtager
- optagelse
- reducere
- fast
- resterne
- fjernet
- resultere
- resulterer
- tæppe trækker
- regler
- Kør
- sikker
- Sikkerhed
- salg
- salg
- Gem
- Scale
- scenarier
- Sektion
- sikker
- sikkerhed
- Sikkerhedsrisici
- Sælgere
- Salg
- sæt
- bør
- Simpelt
- enkelt
- Smart
- smart kontrakt
- Smart kontraktrevision
- Smarte kontrakter
- So
- nogle
- Nogen
- Spot
- forblive
- Stadig
- opbevaring
- opbevaret
- sådan
- systemet
- Tag
- hold
- prøve
- at
- deres
- Them
- selv
- Disse
- grundigt
- trusler
- tid
- tips
- til
- transaktion
- overførsel
- overført
- Stol
- forstå
- USDC
- brug
- Bruger
- brugere
- Værdifuld
- række
- afgørende
- Sårbarheder
- sårbarhed
- Sårbar
- Wave
- Vej..
- Web3
- web3 projekt
- Hjemmeside
- Hvad
- som
- WHO
- bred
- vilje
- med
- uden
- arbejder
- værd
- ville
- skriver
- Forkert
- år
- Du
- Din
- zephyrnet