Temps de lecture: 5 minutes
Apprenez à sécuriser votre place de marché contre les piratages notoires.
NFT, ce terme a fait fureur ces dernières années. La grande variété de cas d'utilisation dont il dispose est inimaginable. Enregistrer les biens immobiliers dans les jeux à l'échelle à laquelle ils peuvent être utilisés est fascinant. Il en va de même pour le marché des NFT.
Le marché NFT est une plate-forme qui facilite et facilite l'échange de propriété par transfert NFT et a des règles de marché NFT pour l'achat et la vente. C'est un endroit où différents NFT sont mis en vente, et différents mécanismes d'achat et d'enchères améliorent l'expérience des vendeurs. Les acheteurs ont une bonne expérience alimentée par la sécurité des contrats intelligents.
Mais pensez un instant à quel point il est crucial pour les places de marché de rester sécurisées et de se protéger, ainsi que leurs utilisateurs, contre la fraude et les piratages. Imaginez combien de pertes en résulteraient si les contrats intelligents du marché étaient compromis. Même une seule vulnérabilité pourrait entraîner la perte de millions de dollars. C'est aussi effrayant que cela puisse paraître. Le marché doit être sur ses gardes à chaque fois pour assurer la sécurité et la sûreté de ses utilisateurs contre les menaces de sécurité Web3 en constante évolution et progression. Chez QuillAudit, nous comprenons le besoin de l'heure et apportons quelques conseils essentiels pour aider à sécuriser le marché NFT. Regardons-les un par un.
Recommandations
Cette section examinera les conseils et les listes de contrôle du marché nft pour aider votre marché à rester en sécurité face à la vague d'exploits en constante évolution.
1. Seules les fonctions du propriétaire
Ce sont les fonctions auxquelles seul le marché a accès. Seul le marché peut les exécuter, et aucun autre acheteur ou vendeur de NFT. Ces fonctions sont très utiles pour superviser le bon fonctionnement de la plateforme. Mais s'il n'est pas mis en œuvre correctement, cela peut vous coûter votre place de marché.
Par exemple, il ne devrait pas y avoir de cas où les paramètres de frais peuvent être définis sur 100 afin que les vendeurs ne gagnent rien et que tout le montant de la vente revienne au propriétaire (place de marché). Si tel est le cas, aucun utilisateur ne fera confiance au marché et le marché ne se développera pas. Il devrait y avoir une vérification appropriée des paramètres d'entrée pour ces fonctions.
2. Robots automatisés
Les robots automatisés sont des programmes qui s'exécutent seuls sans grande intervention humaine. Ces robots peuvent avoir un impact sur les ventes de NFT, gonfler les prix et participer à des baisses ou des lancements limités de NFT. Tous ces éléments sont cruciaux et peuvent avoir un impact important sur le marché.
Les bots peuvent être atténués, dissuadés, bloqués et descendus, mais vous devez d'abord identifier le bot sur la plateforme, ce qui est presque impossible. Pour sauver votre plateforme de telles attaques, le meilleur moyen est de contacter les auditeurs nft et de les sous-traiter à Sécurité Web3 des entreprises comme QuillAudits, qui peuvent vous aider à résoudre ce problème et vous conseiller sur la marche à suivre.
3. Fonctions payantes
Nous devons tester et vérifier minutieusement les fonctions payables dans nos contrats de place de marché, telles que les fonctions buy(). Vous voyez, lorsque nous avons de nombreuses conditions IF, ses contrats sont ouverts aux vulnérabilités, nous devons donc nous assurer de ne jamais manquer de vérifications importantes dans de tels scénarios. Par exemple, il peut y avoir des conditions dans lesquelles la fonction reçoit de l'éther de l'acheteur et transmet la fonction mais ne parvient pas à exécuter certaines opérations critiques, ce qui entraîne soit un blocage dans le contrat, ce qui est important à noter et à résoudre.
4. Contrôles liés aux offres
Les enchères sont une fonction cruciale du marché pour les utilisateurs. Mais cette fonctionnalité peut entraîner de nombreux bugs si elle n'est pas prise en charge. Voyons quelques vérifications importantes et nécessaires : -
- Il est très important de s'assurer que lorsqu'une nouvelle enchère est placée, elle est toujours supérieure à l'enchère précédente pour des raisons évidentes.
- Transférez-vous le "jeton de placement d'offre" (par exemple, USDC) au contrat (c'est-à-dire l'adresse (cette)) ? Vérifiez soigneusement les calculs.
- Lorsque la vente NFT est terminée, comment le gagnant peut-il réclamer le NFT ? Ici, le NFT doit être avec le contrat lui-même (c'est-à-dire l'adresse (cette)) afin qu'il puisse le transférer à l'utilisateur. Et NFT doit également être envoyé au montant de l'offre la plus élevée. Encore une fois, vérifiez ici les calculs.
- Chaque fois qu'une nouvelle enchère est placée, l'enchérisseur précédent doit être transféré le montant de son enchère. Parfois, cette fonctionnalité cruciale mais simple est manquée, ou il y a des erreurs de calcul. Assurez-vous donc que vous écrivez des cas de test pour cela.
5. Quelques vérifications courantes
Dans cette section, nous couvrirons certaines des vérifications courantes dont les développeurs ont besoin pour vérifier les contrats intelligents du marché, cela peut être courant, mais ce n'est pas trivial. Certaines des vulnérabilités des contrats intelligents nft causées par ces conditions non contrôlées peuvent entraîner de lourdes pertes ; nous ne voulons pas cela. Jetons un coup d'œil à eux.
- Vérifiez si un oracle est utilisé. Cet oracle peut-il être manipulé pour donner de mauvaises réponses ?
- La réinscription d'un NFT à un nouveau prix sans annuler l'inscription précédente ne devrait pas être possible sur les plateformes NFT.
- Seuls les utilisateurs autorisés devraient pouvoir acheter le NFT en payant les frais. Vous devriez toujours envisager de revérifier le calcul de la déduction des frais.
- Vérifiez que tous les appels externes sont passés depuis le contrat Marketplace. S'il y a des appels externes à certains contrats non fiables sur la chaîne, envisagez d'utiliser des gardes de réentrance pour la protection.
- Vérifiez les possibilités d'exécution frontale. Quelqu'un qui dirige une transaction ne devrait pas pouvoir profiter de la logique du contrat pour obtenir des NFT pour des remises, payer moins de frais, etc.
- S'il y a une utilisation du prix au comptant de l'échange pour déterminer certains frais ou le prix d'achat, vérifiez s'il peut être manipulé. Est-il vulnérable aux attaques de prêts Flash ? Vous ne devriez jamais dépendre du prix au comptant de l'échange et utiliser un oracle pour les prix.
- Assurez-vous que les URI des NFT ne peuvent pas être modifiés une fois définis et que les métadonnées sont stockées sur un système de stockage de fichiers décentralisé plutôt que sur un stockage centralisé, qui peut être facilement manipulé pour éviter les Rug Pulls.
- Vérifiez si le NFT reste mis en vente, même après que l'utilisateur l'a retiré de la vente sur le marché. Ce bogue a été trouvé dans l'une des plates-formes NFT les plus populaires, entraînant la perte de NFT par les propriétaires.
- Aucune logique du marché NFT ne devrait dépendre de l'approbation de NFT à l'adresse du contrat. Il doit toujours utiliser la fonctionnalité transferFrom du vendeur vers lui-même lors de la création d'une nouvelle vente. Ainsi, lorsque la vente est terminée, le NFT peut être directement transféré à l'acheteur sans dépendre de l'approbation du vendeur.
Conclusion
Il existe de nombreux NFT qui valent des millions de dollars. Imaginez à quoi leur valeur se réduirait si les marchés NFT étaient compromis. Aucun marché ne voudrait cela. Vous voyez, les plateformes de marché fonctionnent avec la confiance des utilisateurs. Les utilisateurs doivent se sentir protégés et en sécurité pour utiliser les plateformes à leur plein potentiel.
Les vérifications susmentionnées sont cruciales et vous aident à protéger votre place de marché des attaques. Pourtant, comme vous le savez, la sécurité en demande toujours plus. Il y a des attaques en constante évolution sur des protocoles précieux, et pour rester à l'abri d'eux, nous avons besoin d'un audit régulier de nos contrats et qui mieux que QuillAudits pour le faire ? Avec une équipe d'experts expérimentés, nous vous aidons à sécuriser vos protocoles et à assurer votre entière sécurité. Consultez notre site Web et sécurisez votre projet Web3 !
11 Vues
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://blog.quillhash.com/2023/03/07/nft-marketplace-smart-contract-audit-guidelines/
- :est
- 100
- 7
- 8
- 9
- a
- Capable
- accès
- propos
- Avantage
- Après
- Tous
- toujours
- montant
- et de
- réponses
- approbation
- SONT
- AS
- At
- Attaques
- audit
- audit
- vérificateurs
- Automatisation
- RETOUR
- BE
- va
- LES MEILLEURS
- Améliorée
- offre
- bloqué
- Bot
- les robots
- apporter
- Punaise
- bogues
- acheter
- acheteurs
- Achat
- by
- calculs
- Appels
- CAN
- ne peut pas
- les soins
- maisons
- cas
- causé
- chaîne
- vérifier
- Contrôles
- réclamer
- Commun
- Sociétés
- complet
- Compromise
- conditions
- Considérer
- contact
- contrat
- contrats
- Prix
- pourriez
- couverture
- La création
- critique
- crucial
- décentralisé
- Selon
- Déterminer
- mobiles
- différent
- directement
- remises
- dollars
- double vérification
- Drops
- e
- gagner
- plus facilement
- même
- non plus
- assurer
- Erreurs
- etc
- Éther
- Pourtant, la
- Chaque
- exemple
- échange
- exécuter
- d'experience
- expérimenté
- de santé
- exploits
- externe
- facilite
- échoue
- fascinant
- frais
- Frais
- few
- Déposez votre dernière attestation
- Prénom
- Fixer
- Flash
- Pour
- trouvé
- fraude
- De
- fonction
- fonctions
- Gain
- Games
- obtenez
- obtention
- Donner
- Goes
- Bien
- plus grand
- Croître
- lignes directrices
- hacks
- Vous avez
- fortement
- lourd
- aider
- ici
- le plus élevé
- Comment
- How To
- HTTPS
- humain
- Hype
- i
- identifier
- Impact
- mis en œuvre
- important
- impossible
- in
- contribution
- intervention
- IT
- SES
- lui-même
- XNUMX éléments à
- Savoir
- Nom
- lance
- conduire
- comme
- limité
- Listé
- inscription
- prêt
- Style
- pas à perdre
- perte
- Lot
- LES PLANTES
- a prendre une
- FAIT DU
- manipulé
- de nombreuses
- marché
- sur le dark web
- Métadonnées
- des millions
- moment
- PLUS
- (en fait, presque toutes)
- Le Plus Populaire
- nécessaire
- Besoin
- Besoins
- Nouveauté
- NFT
- gouttes nft
- marché nft
- Marchés NFT
- Plateformes NFT
- vente nft
- ventes nft
- NFTs
- célèbre
- évident
- of
- on
- Sur place
- ONE
- ouvert
- Opérations
- oracle
- Autre
- externaliser
- propre
- propriétaire
- propriétaires
- possession
- paramètres
- participer
- passes
- Payer
- payant
- Place
- placement
- plateforme
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Populaire
- possessions
- possibilités
- possible
- défaillances
- alimenté
- précédent
- prix
- Tarifs
- programmes
- Projet
- correct
- correctement
- propriété
- protégé
- protection
- protocoles
- RÉSERVES
- Quillhasch
- plutôt
- Les raisons
- reçoit
- l'enregistrement
- réduire
- Standard
- reste
- Supprimé
- résultat
- résultant
- tapis tire
- Courir
- des
- Sécurité
- SOLDE
- vente
- Épargnez
- Escaliers intérieurs
- scénarios
- Section
- sécurisé
- sécurité
- Les menaces de sécurité
- Sellers
- Disponible
- set
- devrait
- étapes
- unique
- smart
- contrat intelligent
- Audit de contrat intelligent
- Contrats intelligents
- So
- quelques
- Quelqu'un
- Spot
- rester
- Encore
- storage
- stockée
- tel
- combustion propre
- Prenez
- équipe
- tester
- qui
- La
- leur
- Les
- se
- Ces
- complètement
- des menaces
- fiable
- conseils
- à
- transaction
- transférer
- transféré
- La confiance
- comprendre
- USDC
- utilisé
- Utilisateur
- utilisateurs
- Précieux
- variété
- vital
- vulnérabilités
- vulnérabilité
- Vulnérable
- Vague
- Façon..
- Web3
- projet web3
- Site Web
- Quoi
- qui
- WHO
- large
- sera
- comprenant
- sans
- de travail
- vaut
- pourra
- écrire
- faux
- années
- Vous n'avez
- Votre
- zéphyrnet