وقت خواندن: 5 دقیقه
یاد بگیرید که بازار خود را از هک های بدنام ایمن کنید.
NFT ها، این اصطلاح در چند سال اخیر یک تبلیغات تبلیغاتی بوده است. تنوع گسترده ای از موارد استفاده آن غیرقابل تصور است. ضبط اموال در بازی ها در مقیاسی که می توان از آن استفاده کرد بسیار جذاب است. بازار NFTها نیز همینطور است.
بازار NFT پلتفرمی است که تبادل مالکیت انتقال NFT را تسهیل و آسان می کند و دارای قوانین بازار NFT برای خرید و فروش است. این مکانی است که در آن NFT های مختلف برای فروش فهرست شده اند و مکانیسم های مختلف خرید و مناقصه تجربه فروشندگان را افزایش می دهد. خریداران تجربه خوبی دارند که از امنیت قراردادهای هوشمند پشتیبانی میکند.
اما یک لحظه فکر کنید که چقدر برای بازارها مهم است که ایمن بمانند و خود و کاربرانشان را از کلاهبرداری و هک حفظ کنند. تصور کنید اگر قراردادهای هوشمند بازار به خطر بیفتد، چقدر ضرر خواهد داشت. حتی یک آسیب پذیری می تواند منجر به از دست دادن میلیون ها دلار شود. این به همان اندازه که به نظر می رسد ترسناک است. بازار باید هر بار برای اطمینان از امنیت و ایمنی کاربران خود در برابر تهدیدات امنیتی وب 3 در حال توسعه و پیشرفت، مراقب خود باشد. ما در QuillAudit نیاز روز را درک می کنیم و نکات مهمی را برای کمک به امنیت بازار NFT ارائه می دهیم. بیایید یک به یک آنها را بررسی کنیم.
دستورالعمل
این بخش به نکات و چک لیست های nft marketplace می پردازد تا به بازار شما کمک کند در موج رو به پیشرفت سوء استفاده ها ایمن بماند.
1. فقط توابع مالک
اینها عملکردهایی هستند که فقط بازار به آنها دسترسی دارد. فقط بازار می تواند آنها را اجرا کند و هیچ خریدار یا فروشنده دیگری از NFT. این توابع برای نظارت بر عملکرد روان پلت فرم بسیار مفید هستند. اما اگر به درستی اجرا نشود، می تواند به قیمت بازار شما تمام شود.
به عنوان مثال، نباید موردی وجود داشته باشد که پارامترهای کارمزد را بتوان روی 100 تنظیم کرد تا فروشندگان چیزی کسب نکنند و تمام مبلغ فروش به مالک (بازار) برسد. اگر اینطور باشد، هیچ کاربری به بازار اعتماد نخواهد کرد و بازار رشد نخواهد کرد. برای این توابع باید یک بررسی مناسب روی پارامترهای ورودی وجود داشته باشد.
2. ربات های خودکار
رباتهای خودکار برنامههایی هستند که به تنهایی و بدون دخالت انسان اجرا میشوند. این رباتها میتوانند بر فروش NFT تأثیر بگذارند، قیمتها را افزایش دهند و در کاهش یا راهاندازی محدود NFT شرکت کنند. همه اینها بسیار مهم هستند و می توانند به شدت بر بازار تأثیر بگذارند.
رباتها را میتوان کاهش داد، باز داشت، مسدود کرد و فرود آورد، اما ابتدا باید ربات را روی پلتفرم شناسایی کنید، که تقریبا غیرممکن است. برای نجات پلتفرم خود از چنین حملاتی، بهترین راه تماس با حسابرسان nft و برون سپاری آن است امنیت Web3 شرکتهایی مانند QuillAudits، که میتوانند به شما در رفع آن کمک کنند و نحوه ادامه کار را راهنمایی کنند.
3. توابع قابل پرداخت
ما باید توابع قابل پرداخت را در قراردادهای بازار خود، مانند توابع buy() به طور کامل آزمایش و بررسی کنیم. ببینید، وقتی شرایط IF زیادی داریم، قراردادهای آن برای آسیبپذیریها باز است، بنابراین باید اطمینان حاصل کنیم که هرگز هیچ بررسی مهمی را در چنین سناریوهایی از دست نمیدهیم. به عنوان مثال، ممکن است شرایطی وجود داشته باشد که در آن تابع اتر را از خریدار دریافت کند و تابع را پاس کند، اما در اجرای برخی از عملیات حیاتی شکست بخورد که منجر به گیرکردن در قرارداد می شود، که توجه و حل آن مهم است.
4. چک های مربوط به مناقصه
مناقصه یک عملکرد مهم بازار برای کاربران است. اما این قابلیت در صورت عدم توجه می تواند باگ های زیادی را به همراه داشته باشد. بیایید بررسی های مهم و ضروری را ببینیم:
- بسیار مهم است که اطمینان حاصل شود که وقتی یک پیشنهاد جدید ارائه می شود، به دلایل واضح همیشه از پیشنهاد قبلی بیشتر باشد.
- آیا «توکن عرضه پیشنهاد» (به عنوان مثال USDC) را به قرارداد (یعنی آدرس (این)) منتقل می کنید؟ محاسبات را به طور کامل بررسی کنید.
- وقتی فروش NFT تمام شد، چگونه برنده می تواند NFT را مطالبه کند؟ در اینجا NFT باید با خود قرارداد باشد (یعنی آدرس(این)) تا بتواند آن را به کاربر منتقل کند. و NFT باید به بالاترین مبلغ پیشنهادی نیز ارسال شود. باز هم در اینجا محاسبات را بررسی کنید.
- هر زمان پیشنهاد جدیدی ارائه شود، باید مبلغ پیشنهادی خود را به داوطلب قبلی بازگرداند. گاهی اوقات این عملکرد مهم و در عین حال ساده نادیده گرفته می شود یا خطاهای محاسباتی وجود دارد. بنابراین مطمئن شوید که موارد آزمایشی را برای این کار بنویسید.
5. برخی از چک های رایج
در این بخش، برخی از بررسیهای رایجی را که توسعهدهندگان باید برای قراردادهای هوشمند بازار بررسی کنند، پوشش میدهیم، ممکن است رایج باشد، اما بیاهمیت نیست. برخی از آسیبپذیریهای قرارداد هوشمند nft ناشی از این شرایط کنترلنشده ممکن است منجر به خسارت سنگین شود. ما آن را نمی خواهیم. بیایید نگاهی به آنها بیندازیم.
- بررسی کنید که آیا اوراکل استفاده شده است یا خیر. آیا می توان آن اوراکل را برای دادن پاسخ های اشتباه دستکاری کرد؟
- فهرست کردن مجدد NFT با قیمت جدید بدون لغو فهرست قبلی نباید در پلتفرم های NFT امکان پذیر باشد.
- فقط کاربران مجاز باید بتوانند با پرداخت هزینه، NFT را خریداری کنند. همیشه باید محاسبه کسر هزینه را دوباره بررسی کنید.
- بررسی کنید که همه تماسهای خارجی از قرارداد Marketplace انجام میشوند. اگر تماسهای خارجی برای برخی از قراردادهای غیرقابل اعتماد در زنجیره وجود دارد، از محافظهای بازگشت مجدد برای محافظت استفاده کنید.
- احتمالات جلویی را بررسی کنید. شخصی که تراکنش را پیشروی می کند نباید بتواند از منطق قرارداد برای به دست آوردن NFT برای تخفیف، پرداخت هزینه کمتر و غیره استفاده کند.
- اگر از قیمت لحظه ای مبادله برای تعیین برخی کارمزدها یا قیمت خرید استفاده می شود، بررسی کنید که آیا می توان آن را دستکاری کرد. آیا در برابر حملات وام فلش آسیب پذیر است؟ شما هرگز نباید به قیمت لحظه ای مبادلات وابسته باشید و از اوراکل برای قیمت ها استفاده کنید.
- اطمینان حاصل کنید که URI های NFT ها پس از تنظیم نمی توانند تغییر داده شوند و ابرداده ها به جای ذخیره سازی متمرکز در یک سیستم ذخیره سازی فایل غیرمتمرکز ذخیره می شوند، که می تواند به راحتی برای جلوگیری از Rug Pulls دستکاری شود.
- بررسی کنید که آیا NFT در فهرست فروش باقی می ماند، حتی پس از اینکه کاربر آن را از فروش در بازار حذف کرد. این باگ در یکی از محبوبترین پلتفرمهای NFT یافت شد و در نتیجه صاحبان NFTها را از دست دادند.
- هیچ منطق بازار NFT نباید به تایید NFT در آدرس قرارداد بستگی داشته باشد. هنگام ایجاد یک فروش جدید، همیشه باید از عملکرد transferFrom از فروشنده به خودش استفاده کند. به طوری که پس از پایان فروش، NFT می تواند مستقیماً بدون نیاز به تایید فروشنده به خریدار منتقل شود.
نتیجه
NFT های زیادی وجود دارد که میلیون ها دلار ارزش دارند. تصور کنید اگر بازارهای NFT به خطر بیفتند، ارزش آنها به چه میزان کاهش می یابد. هیچ بازاری این را نمی خواهد. ببینید، پلتفرم های بازار با اعتماد کاربران اجرا می شوند. کاربران باید برای استفاده از پلتفرمها در نهایت پتانسیل خود احساس محافظت و امنیت کنند.
بررسی های فوق بسیار مهم هستند و به شما کمک می کنند تا بازار خود را از حملات نجات دهید. با این حال، همانطور که می دانید، امنیت همیشه بیشتر درخواست می کند. حملات دائمی به پروتکل های ارزشمند وجود دارد، و برای در امان ماندن از آنها، ما به حسابرسی منظم قراردادهای خود نیاز داریم و چه کسی بهتر از QuillAudits این کار را انجام می دهد؟ با تیمی از کارشناسان مجرب، به شما کمک می کنیم پروتکل های خود را ایمن کنید و ایمنی کامل خود را تضمین کنید. وب سایت ما را بررسی کنید و پروژه Web3 خود را ایمن کنید!
11 نمایش ها
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://blog.quillhash.com/2023/03/07/nft-marketplace-smart-contract-audit-guidelines/
- :است
- 100
- 7
- 8
- 9
- a
- قادر
- دسترسی
- نشانی
- مزیت - فایده - سود - منفعت
- پس از
- معرفی
- همیشه
- مقدار
- و
- پاسخ
- تصویب
- هستند
- AS
- At
- حمله
- حسابرسی
- حسابرسی
- حسابرسان
- خودکار
- به عقب
- BE
- بودن
- بهترین
- بهتر
- پیشنهاد
- مسدود شده
- ربات
- رباتها
- به ارمغان بیاورد
- اشکال
- اشکالات
- خرید
- خریداران
- خریداری کردن
- by
- محاسبات
- تماس ها
- CAN
- نمی توان
- اهميت دادن
- مورد
- موارد
- ایجاد می شود
- زنجیر
- بررسی
- چک
- ادعا
- مشترک
- شرکت
- کامل
- در معرض خطر
- شرایط
- در نظر بگیرید
- تماس
- قرارداد
- قرارداد
- هزینه
- میتوانست
- پوشش
- ایجاد
- بحرانی
- بسیار سخت
- غیر متمرکز
- بستگی دارد
- مشخص کردن
- توسعه دهندگان
- مختلف
- مستقیما
- تخفیف
- دلار
- دوبار چک کردن
- قطره
- e
- کسب درآمد
- آسان تر
- به آسانی
- هر دو
- اطمینان حاصل شود
- خطاهای
- و غیره
- اتر
- حتی
- هر
- مثال
- تبادل
- اجرا کردن
- تجربه
- با تجربه
- کارشناسان
- سوء استفاده
- خارجی
- تسهیل می کند
- نتواند
- شگفت انگیز
- پرداخت
- هزینه
- کمی از
- پرونده
- نام خانوادگی
- رفع
- فلاش
- برای
- یافت
- تقلب
- از جانب
- تابع
- قابلیت
- توابع
- افزایش
- بازیها
- دریافت کنید
- گرفتن
- دادن
- می رود
- خوب
- بیشتر
- شدن
- دستورالعمل ها
- هک
- آیا
- به شدت
- سنگین
- کمک
- اینجا کلیک نمایید
- بالاترین
- چگونه
- چگونه
- HTTPS
- انسان
- هیپ
- i
- شناسایی
- تأثیر
- اجرا
- مهم
- غیر ممکن
- in
- ورودی
- مداخله
- IT
- ITS
- خود
- نگاه داشتن
- دانستن
- نام
- راه اندازی
- رهبری
- پسندیدن
- محدود شده
- ذکر شده
- فهرست
- وام
- نگاه کنيد
- شکست
- خاموش
- خیلی
- ساخته
- ساخت
- باعث می شود
- دستکاری شده
- بسیاری
- بازار
- بازارها
- متاداده
- میلیون ها نفر
- لحظه
- بیش
- اکثر
- محبوبترین
- لازم
- نیاز
- نیازهای
- جدید
- NFT
- nft سقوط می کند
- بازار nft
- بازارهای NFT
- سیستم عامل های NFT
- فروش nft
- فروش nft
- NFT
- بدنام
- واضح
- of
- on
- در محل
- ONE
- باز کن
- عملیات
- وحی
- دیگر
- برون سپاری
- خود
- مالک
- صاحبان
- مالکیت
- پارامترهای
- شرکت کردن
- عبور می کند
- پرداخت
- پرداخت
- محل
- دادن
- سکو
- سیستم عامل
- افلاطون
- هوش داده افلاطون
- PlatoData
- محبوب
- اموال
- فرصت
- ممکن
- پتانسیل
- صفحه اصلی
- قبلی
- قیمت
- قیمت
- برنامه ها
- پروژه
- مناسب
- به درستی
- ویژگی
- محفوظ
- حفاظت
- پروتکل
- کشد
- کویل هاش
- نسبتا
- دلایل
- دریافت
- ضبط
- كاهش دادن
- منظم
- بقایای
- حذف شده
- نتیجه
- نتیجه
- فرش می کشد
- قوانین
- دویدن
- امن
- ایمنی
- فروش
- حراجی
- ذخیره
- مقیاس
- سناریوها
- بخش
- امن
- تیم امنیت لاتاری
- تهدیدات امنیتی
- فروشندگان
- فروش
- تنظیم
- باید
- ساده
- تنها
- هوشمند
- قرارداد هوشمند
- حسابرسی قرارداد هوشمند
- قراردادهای هوشمند
- So
- برخی از
- کسی
- Spot
- ماندن
- هنوز
- ذخیره سازی
- ذخیره شده
- چنین
- سیستم
- گرفتن
- تیم
- آزمون
- که
- La
- شان
- آنها
- خودشان
- اینها
- به طور کامل
- تهدید
- زمان
- نکات
- به
- معامله
- انتقال
- منتقل
- اعتماد
- فهمیدن
- USDC
- استفاده کنید
- کاربر
- کاربران
- ارزشمند
- تنوع
- حیاتی
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- موج
- مسیر..
- Web3
- پروژه web3
- سایت اینترنتی
- چی
- که
- WHO
- وسیع
- اراده
- با
- بدون
- کارگر
- با ارزش
- خواهد بود
- نوشتن
- اشتباه
- سال
- شما
- شما
- زفیرنت