Lesezeit: 5 Minuten
Erfahren Sie, wie Sie Ihren Marktplatz vor berüchtigten Hacks da draußen schützen.
NFTs, dieser Begriff war in den letzten Jahren ein Hype. Die Vielfalt der Anwendungsfälle, die es hat, ist unvorstellbar. Das Aufzeichnen von Eigentumsbesitz in Spielen in dem Umfang, in dem es verwendet werden kann, ist faszinierend. So ist der Marktplatz von NFTs.
Der NFT-Marktplatz ist eine Plattform, die den Austausch von NFT-Eigentumsübertragungen erleichtert und erleichtert und über NFT-Marktplatzregeln für den Kauf und Verkauf verfügt. Es ist ein Ort, an dem verschiedene NFTs zum Verkauf angeboten werden und verschiedene Kauf- und Gebotsmechanismen die Erfahrung der Verkäufer verbessern. Käufer haben eine gute Erfahrung, die durch die Sicherheit von Smart Contracts unterstützt wird.
Aber denken Sie einen Moment darüber nach, wie wichtig es für die Marktplätze wird, sicher zu bleiben und sich selbst und ihre Benutzer vor Betrug und Hacks zu schützen. Stellen Sie sich vor, wie viel Verlust entstehen würde, wenn die Smart Contracts des Marktplatzes kompromittiert würden. Selbst eine einzige Schwachstelle kann zu einem Verlust von Millionen von Dollar führen. Das ist so beängstigend, wie es klingt. Der Marktplatz muss jedes Mal auf der Hut sein, um die Sicherheit seiner Benutzer vor sich ständig weiterentwickelnden und fortschreitenden Sicherheitsbedrohungen im Web3 zu gewährleisten. Wir bei QuillAudit verstehen die Notwendigkeit der Stunde und bringen einige wichtige Tipps, um den NFT-Marktplatz zu sichern. Schauen wir sie uns nacheinander an.
Richtlinien
Dieser Abschnitt befasst sich mit Tipps und NFT-Marketplace-Checklisten, die Ihnen dabei helfen, Ihren Marktplatz vor der ständig fortschreitenden Welle von Exploits zu schützen.
1. Nur Eigentümerfunktionen
Dies sind die Funktionen, auf die nur der Marktplatz Zugriff hat. Nur der Marktplatz kann sie ausführen und kein anderer Käufer oder Verkäufer von NFT. Diese Funktionen sind sehr nützlich, um das reibungslose Funktionieren der Plattform zu überwachen. Aber wenn es nicht richtig implementiert wird, kann es Sie Ihren Marktplatz kosten.
Beispielsweise sollte es keinen Fall geben, in dem Gebührenparameter auf 100 gesetzt werden können, sodass Verkäufer nichts verdienen und der gesamte Verkaufsbetrag an den Eigentümer (Marktplatz) geht. Wenn dies der Fall ist, wird kein Benutzer dem Marktplatz vertrauen und der Marktplatz wird nicht wachsen. Es sollte eine ordnungsgemäße Überprüfung der Eingabeparameter für diese Funktionen geben.
2. Automatisierte Bots
Automatisierte Bots sind Programme, die ohne viel menschliches Eingreifen selbstständig ausgeführt werden. Diese Bots können NFT-Verkäufe beeinflussen, Preise in die Höhe treiben und an begrenzten NFT-Drops oder -Starts teilnehmen. All dies ist entscheidend und kann den Markt stark beeinflussen.
Bots können gemildert, abgeschreckt, blockiert und herabgesetzt werden, aber Sie müssen den Bot zuerst auf der Plattform identifizieren, was fast unmöglich ist. Um Ihre Plattform vor solchen Angriffen zu schützen, wenden Sie sich am besten an nft Auditoren und lagern diese an aus Web3-Sicherheit Unternehmen wie QuillAudits, die Ihnen helfen können, das Problem zu beheben, und Sie beraten, wie Sie vorgehen sollen.
3. Kostenpflichtige Funktionen
Wir müssen kostenpflichtige Funktionen in unseren Marktplatzverträgen, wie z. B. buy()-Funktionen, gründlich testen und prüfen. Sie sehen, wenn wir viele IF-Bedingungen haben, sind seine Verträge offen für Schwachstellen, also müssen wir sicherstellen, dass wir in solchen Szenarien keine wichtigen Prüfungen verpassen. Zum Beispiel könnte es Bedingungen geben, unter denen die Funktion Ether vom Käufer erhält und die Funktion weitergibt, aber einige kritische Operationen nicht ausführt, was dazu führt, dass entweder der Vertrag stecken bleibt, was wichtig ist, zu beachten und zu lösen.
4. Ausschreibungsbezogene Prüfungen
Bieten ist eine entscheidende Funktion des Marktplatzes für Benutzer. Diese Funktionalität kann jedoch viele Fehler verursachen, wenn sie nicht beachtet wird. Sehen wir uns einige wichtige und notwendige Überprüfungen an: -
- Es ist sehr wichtig sicherzustellen, dass ein neues Gebot aus offensichtlichen Gründen immer höher ist als das vorherige Gebot.
- Übertragen Sie das 'Gebotsplatzierungs-Token' (z. B. usdc) auf den Vertrag (dh Adresse (dies))? Überprüfen Sie die Berechnungen gründlich.
- Wie kann der Gewinner die NFT beanspruchen, wenn der NFT-Verkauf beendet ist? Hier sollte die NFT mit dem Vertrag selbst (dh address(this)) sein, damit sie ihn an den Benutzer übertragen kann. Und NFT sollte auch zum höchsten Gebotsbetrag gesendet werden. Auch hier überprüfen Sie die Berechnungen.
- Bei jeder Abgabe eines neuen Gebotes soll dem bisherigen Bieter sein Gebotsbetrag zurücküberwiesen werden. Manchmal wird diese wichtige und doch einfache Funktionalität übersehen oder es treten Berechnungsfehler auf. Stellen Sie also sicher, dass Sie Testfälle dafür schreiben.
5. Einige allgemeine Kontrollen
In diesem Abschnitt werden wir einige der üblichen Überprüfungen behandeln, die Entwickler für Smart Contracts auf dem Marktplatz überprüfen müssen. Dies kann üblich sein, ist aber nicht trivial. Einige der nft-Smart-Contract-Schwachstellen, die durch diese ungeprüften Bedingungen verursacht werden, können zu schweren Verlusten führen; das wollen wir nicht. Werfen wir einen Blick auf sie.
- Überprüfen Sie, ob ein Orakel verwendet wird. Kann dieses Orakel manipuliert werden, um falsche Antworten zu geben?
- Die erneute Notierung einer NFT zu einem neuen Preis ohne Kündigung der vorherigen Notierung sollte auf NFT-Plattformen nicht möglich sein.
- Nur autorisierte Benutzer sollten in der Lage sein, die NFT durch Zahlung der Gebühr zu kaufen. Sie sollten immer in Betracht ziehen, die Berechnung des Gebührenabzugs zu überprüfen.
- Überprüfen Sie, ob alle externen Anrufe über den Marketplace-Vertrag getätigt werden. Wenn es externe Aufrufe zu einigen nicht vertrauenswürdigen Verträgen in der Kette gibt, sollten Sie die Verwendung von Reentrancy Guards zum Schutz in Betracht ziehen.
- Suchen Sie nach Front-Running-Möglichkeiten. Jemand, der eine Transaktion vorantreibt, sollte nicht in der Lage sein, die Vertragslogik zu nutzen, um NFTs für Rabatte zu erhalten, weniger Gebühren zu zahlen usw.
- Wenn der Kassakurs der Börse verwendet wird, um Gebühren oder den Kaufpreis zu bestimmen, prüfen Sie, ob er manipuliert werden kann. Ist es anfällig für Flash-Darlehensangriffe? Sie sollten sich niemals auf den Kassakurs der Börse verlassen und ein Orakel für Preise verwenden.
- Stellen Sie sicher, dass die URIs von NFTs nicht geändert werden können, nachdem sie einmal festgelegt wurden, und dass die Metadaten auf einem dezentralen Dateispeichersystem und nicht auf einem zentralen Speicher gespeichert werden, der leicht manipuliert werden kann, um Rug Pulls zu vermeiden.
- Überprüfen Sie, ob das NFT weiterhin zum Verkauf angeboten wird, auch nachdem der Benutzer es aus dem Verkauf auf dem Marktplatz entfernt hat. Dieser Fehler wurde in einer der beliebtesten NFT-Plattformen gefunden, was dazu führte, dass Besitzer NFTs verloren.
- Keine Logik des NFT-Marktplatzes sollte von der Zustimmung von NFT zur Vertragsadresse abhängen. Es sollte beim Erstellen eines neuen Verkaufs immer die transferFrom-Funktionalität vom Verkäufer an sich selbst verwenden. Damit NFT nach Beendigung des Verkaufs direkt auf den Käufer übertragen werden kann, ohne von der Zustimmung des Verkäufers abhängig zu sein.
Zusammenfassung
Es gibt viele NFTs im Wert von Millionen von Dollar. Stellen Sie sich vor, auf was sich ihr Wert reduzieren würde, wenn die NFT-Marktplätze kompromittiert würden. Kein Marktplatz würde das wollen. Sie sehen, Marktplatzplattformen laufen mit dem Vertrauen der Benutzer. Die Benutzer sollten sich geschützt und sicher fühlen, um Plattformen in vollem Umfang nutzen zu können.
Die oben genannten Checks sind entscheidend und helfen Ihnen, Ihren Marktplatz vor Angriffen zu schützen. Wie Sie wissen, verlangt die Sicherheit jedoch immer mehr. Es gibt ständig fortschreitende Angriffe auf wertvolle Protokolle, und um uns vor ihnen zu schützen, müssen wir unsere Verträge regelmäßig prüfen, und wer könnte dies besser tun als QuillAudits? Mit einem Team erfahrener Experten helfen wir Ihnen, Ihre Protokolle zu sichern und Ihre vollständige Sicherheit zu gewährleisten. Besuchen Sie unsere Website und sichern Sie Ihr Web3-Projekt!
11 Views
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://blog.quillhash.com/2023/03/07/nft-marketplace-smart-contract-audit-guidelines/
- :Ist
- 100
- 7
- 8
- 9
- a
- Fähig
- Zugang
- Adresse
- Vorteil
- Nach der
- Alle
- immer
- Betrag
- und
- Antworten
- Genehmigung
- SIND
- AS
- At
- Anschläge
- Prüfung
- Wirtschaftsprüfung
- Abschlussprüfer
- Automatisiert
- Zurück
- BE
- Sein
- BESTE
- Besser
- Gebot
- verstopft
- Wander- und Outdoorschuhen
- Bots
- bringen
- Fehler
- Bugs
- Kaufe
- Käufer
- Kauf
- by
- Berechnungen
- Aufrufe
- CAN
- kann keine
- österreichische Unternehmen
- Häuser
- Fälle
- verursacht
- Kette
- aus der Ferne überprüfen
- Schecks
- Anspruch
- gemeinsam
- Unternehmen
- abschließen
- Kompromittiert
- Bedingungen
- Geht davon
- Kontakt
- Vertrag
- Verträge
- Kosten
- könnte
- Abdeckung
- Erstellen
- kritischem
- wichtig
- dezentral
- Abhängig
- Bestimmen
- Entwickler
- anders
- Direkt
- exklusive Rabatte
- Dollar
- doppelte Kontrolle
- Drops
- e
- verdienen
- einfacher
- leicht
- entweder
- gewährleisten
- Fehler
- etc
- Äther
- Sogar
- Jedes
- Beispiel
- Austausch-
- ausführen
- ERFAHRUNGEN
- erfahrensten
- Experten
- Abenteuer
- extern
- erleichtert
- scheitert
- faszinierend
- Gebühr
- Honorare
- wenige
- Reichen Sie das
- Vorname
- Fixieren
- Blinken (Flash)
- Aussichten für
- gefunden
- Betrug
- für
- Funktion
- Funktionalität
- Funktionen
- Gewinnen
- Games
- bekommen
- bekommen
- ABSICHT
- Goes
- gut
- mehr
- Wachsen Sie über sich hinaus
- Richtlinien
- Hacks
- Haben
- schwer
- schwer
- Hilfe
- hier
- höchste
- Ultraschall
- Hilfe
- HTTPS
- human
- Hype
- i
- identifizieren
- Impact der HXNUMXO Observatorien
- umgesetzt
- wichtig
- unmöglich
- in
- Varianten des Eingangssignals:
- Intervention
- IT
- SEINE
- selbst
- Behalten
- Wissen
- Nachname
- startet
- führen
- Gefällt mir
- Limitiert
- Gelistet
- listing
- Darlehen
- aussehen
- verlieren
- Verlust
- Los
- gemacht
- um
- MACHT
- manipuliert
- viele
- Marktplatz
- Markt
- Metadaten
- Millionen
- Moment
- mehr
- vor allem warme
- Am beliebtesten
- notwendig,
- Need
- Bedürfnisse
- Neu
- NFT
- nft fällt
- nft Marktplatz
- NFT-Marktplätze
- NFT-Plattformen
- NFT-Verkauf
- nft-Verkäufe
- NFTs
- berüchtigt
- offensichtlich
- of
- on
- An Ort und Stelle
- EINEM
- XNUMXh geöffnet
- Einkauf & Prozesse
- Orakel
- Andere
- auslagern
- besitzen
- Eigentümer
- Besitzer
- Eigentum
- Parameter
- teilnehmen
- leitet
- AUFMERKSAMKEIT
- zahlen
- Ort
- Platzierung
- Plattform
- Plattformen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Beliebt
- Habe
- Möglichkeiten
- möglich
- Potenzial
- angetriebene
- früher
- Preis
- Preise
- Programme
- Projekt
- ordnungsgemäße
- richtig
- Resorts
- geschützt
- Sicherheit
- Protokolle
- Pullover
- Quillhash
- lieber
- Gründe
- erhält
- Einspielung vor
- Veteran
- regulär
- bleibt bestehen
- Entfernt
- Folge
- was zu
- Teppich zieht
- Ohne eine erfahrene Medienplanung zur Festlegung von Regeln und Strategien beschleunigt der programmatische Medieneinkauf einfach die Rate der verschwenderischen Ausgaben.
- Führen Sie
- Safe
- Sicherheit
- Salz
- Vertrieb
- Speichern
- Skalieren
- Szenarien
- Abschnitt
- Verbindung
- Sicherheitdienst
- Sicherheitsbedrohungen
- Sellers
- in XNUMX Minuten
- kompensieren
- sollte
- Einfacher
- Single
- smart
- Smart-Vertrag
- Intelligentes Vertragsaudit
- Smart Contracts
- So
- einige
- Jemand,
- Spot
- bleiben
- Immer noch
- Lagerung
- gelagert
- so
- System
- Nehmen
- Team
- Test
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- sich
- Diese
- gründlich
- Bedrohungen
- Zeit
- Tipps
- zu
- Transaktion
- privaten Transfer
- übertragen
- Vertrauen
- verstehen
- USDC
- -
- Mitglied
- Nutzer
- wertvoll
- Vielfalt
- lebenswichtig
- Sicherheitslücken
- Verwundbarkeit
- Verwundbar
- Wave
- Weg..
- Web3
- web3-Projekt
- Webseite
- Was
- welche
- WHO
- breit
- werden wir
- mit
- ohne
- arbeiten,
- wert
- würde
- schreiben
- Falsch
- Jahr
- Du
- Ihr
- Zephyrnet