Tempo per leggere: 5 verbale
Impara a proteggere il tuo mercato dai famigerati attacchi là fuori.
NFT, questo termine è stato un clamore negli ultimi anni. L'ampia varietà di casi d'uso che ha è inimmaginabile. La registrazione dei beni di proprietà nei giochi sulla scala su cui può essere utilizzata è affascinante. Così è il mercato degli NFT.
Il mercato NFT è una piattaforma che facilita e semplifica lo scambio di proprietà del trasferimento NFT e ha regole del mercato NFT per l'acquisto e la vendita. È un luogo in cui vengono messi in vendita diversi NFT e diversi meccanismi di acquisto e offerta migliorano l'esperienza dei venditori. Gli acquirenti hanno una buona esperienza alimentata dalla sicurezza dei contratti intelligenti.
Ma pensa per un momento quanto diventa cruciale per i mercati rimanere al sicuro e proteggere se stessi e i loro utenti da frodi e hack. Immagina quanta perdita si verificherebbe se i contratti intelligenti del mercato fossero compromessi. Anche una singola vulnerabilità potrebbe portare alla perdita di milioni di dollari. Questo è spaventoso come sembra. Il mercato deve essere sempre all'erta per garantire la sicurezza e la protezione dei suoi utenti dalle minacce alla sicurezza Web3 in continua evoluzione e avanzamento. Noi di QuillAudit comprendiamo la necessità del momento e forniamo alcuni suggerimenti vitali per proteggere il mercato NFT. Diamo un'occhiata a loro uno per uno.
Linee Guida
Questa sezione esaminerà i suggerimenti e le liste di controllo del mercato nft per aiutare il tuo mercato a rimanere al sicuro nell'ondata di exploit in continua evoluzione.
1. Solo funzioni del proprietario
Queste sono le funzioni a cui ha accesso solo il marketplace. Solo il mercato può eseguirli e nessun altro acquirente o venditore di NFT. Queste funzioni sono molto utili per supervisionare il buon funzionamento della piattaforma. Ma se non implementato correttamente, può costarti il tuo mercato.
Ad esempio, non dovrebbe esserci un caso in cui i parametri delle commissioni possono essere impostati su 100 in modo che i venditori non guadagnino nulla e tutto l'importo della vendita vada al proprietario (mercato). In tal caso, nessun utente si fiderà del mercato e il mercato non crescerà. Ci dovrebbe essere un controllo adeguato sui parametri di input per queste funzioni.
2. Bot automatizzati
I robot automatizzati sono programmi che si eseguono da soli senza molto intervento umano. Questi robot possono influire sulle vendite di NFT, gonfiare i prezzi e partecipare a lanci o lanci limitati di NFT. Tutti questi sono cruciali e possono avere un forte impatto sul mercato.
I bot possono essere mitigati, scoraggiati, bloccati e scesi, ma devi prima identificare il bot sulla piattaforma, il che è quasi impossibile. Per salvare la tua piattaforma da tali attacchi, il modo migliore è contattare i revisori nft e esternalizzarlo a Sicurezza Web3 aziende come QuillAudits, che possono aiutarti a risolverlo e consigliarti su come procedere.
3. Funzioni a pagamento
Dobbiamo testare e controllare accuratamente le funzioni pagabili nei nostri contratti di mercato, come le funzioni buy(). Vedete, quando abbiamo molte condizioni IF, i suoi contratti sono aperti a vulnerabilità, quindi dobbiamo assicurarci di non perdere mai controlli importanti in tali scenari. Ad esempio, potrebbero esserci condizioni in cui la funzione riceve ether dall'acquirente e passa la funzione ma non riesce a eseguire alcune operazioni critiche con conseguente blocco del contratto, che è importante notare e risolvere.
4. Verifiche relative alle offerte
L'offerta è una funzione cruciale del mercato per gli utenti. Ma questa funzionalità può portare a molti bug se non curata. Vediamo alcuni controlli importanti e necessari:-
- È molto importante assicurarsi che quando viene fatta una nuova offerta, questa sia sempre maggiore dell'offerta precedente per ovvie ragioni.
- Trasferisci il "token per l'immissione delle offerte" (ad es. usdc) nel contratto (ovvero l'indirizzo (questo))? Controlla bene i calcoli.
- Al termine della vendita dell'NFT, come può il vincitore richiedere l'NFT? Qui l'NFT dovrebbe essere con il contratto stesso (cioè l'indirizzo (questo)) in modo che possa trasferirlo all'utente. E NFT dovrebbe essere inviato anche all'importo dell'offerta più alto. Di nuovo, qui controlla i calcoli.
- Ogni volta che viene piazzata una nuova offerta, l'offerente precedente dovrebbe essere ritrasferito all'importo della sua offerta. A volte questa funzionalità cruciale ma semplice viene persa o ci sono errori di calcolo. Quindi assicurati di scrivere casi di test per questo.
5. Alcuni controlli comuni
In questa sezione, tratteremo alcuni dei controlli comuni che gli sviluppatori devono verificare per i contratti intelligenti del mercato, potrebbe essere comune, ma non è banale. Alcune delle vulnerabilità del contratto intelligente nft causate da queste condizioni non controllate possono portare a gravi perdite; non lo vogliamo. Diamo un'occhiata a loro.
- Controlla se c'è un oracolo utilizzato. Quell'oracolo può essere manipolato per dare risposte sbagliate?
- Non dovrebbe essere possibile reinserire un NFT a un nuovo prezzo senza annullare l'elenco precedente sulle piattaforme NFT.
- Solo gli utenti autorizzati dovrebbero poter acquistare l'NFT pagando la quota. Dovresti sempre considerare di ricontrollare il calcolo della detrazione della commissione.
- Verifica che tutte le chiamate esterne vengano effettuate dal contratto Marketplace. Se sono presenti chiamate esterne ad alcuni contratti non attendibili sulla catena, prendere in considerazione l'utilizzo di Reentrancy Guards per la protezione.
- Controlla le possibilità di front-running. Qualcuno che gestisce una transazione in anticipo non dovrebbe essere in grado di sfruttare la logica del contratto per ottenere NFT per sconti, pagare meno commissioni, ecc.
- Se si utilizza il prezzo spot di scambio per determinare alcune commissioni o acquistare il prezzo, verificare se può essere manipolato. È vulnerabile agli attacchi di prestito Flash? Non dovresti mai dipendere dal prezzo spot di scambio e utilizzare un oracolo per i prezzi.
- Assicurati che gli URI degli NFT non possano essere modificati una volta impostati e che i metadati siano archiviati su un sistema di archiviazione di file decentralizzato anziché su un'archiviazione centralizzata, che può essere facilmente manipolata per evitare Rug Pull.
- Controlla se l'NFT rimane in vendita, anche dopo che l'utente l'ha rimosso dalla vendita sul marketplace. Questo bug è stato trovato in una delle piattaforme NFT più popolari, con conseguente perdita di NFT da parte dei proprietari.
- Nessuna logica del mercato NFT dovrebbe dipendere dall'approvazione di NFT all'indirizzo del contratto. Dovrebbe sempre utilizzare la funzionalità transferFrom dal venditore a se stesso durante la creazione di una nuova vendita. In questo modo, al termine della vendita, l'NFT può essere trasferito direttamente all'acquirente senza dipendere dall'approvazione del venditore.
Conclusione
Ci sono molti NFT là fuori che valgono milioni di dollari. Immagina a quanto si ridurrebbe il loro valore se i mercati NFT fossero compromessi. Nessun mercato lo vorrebbe. Vedi, le piattaforme di mercato funzionano con la fiducia degli utenti. Gli utenti dovrebbero sentirsi protetti e sicuri per utilizzare le piattaforme al massimo delle loro potenzialità.
I suddetti controlli sono fondamentali e ti aiutano a salvare il tuo marketplace dagli attacchi. Tuttavia, come sai, la sicurezza chiede sempre di più. Ci sono attacchi in continua evoluzione a protocolli preziosi e per proteggerli abbiamo bisogno di un controllo regolare dei nostri contratti e chi meglio di QuillAudits può farlo? Con un team di esperti esperti, ti aiutiamo a proteggere i tuoi protocolli e garantire la tua completa sicurezza. Dai un'occhiata al nostro sito web e metti al sicuro il tuo progetto Web3!
11 Visualizzazioni
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://blog.quillhash.com/2023/03/07/nft-marketplace-smart-contract-audit-guidelines/
- :È
- 100
- 7
- 8
- 9
- a
- capace
- accesso
- indirizzo
- Vantaggio
- Dopo shavasana, sedersi in silenzio; saluti;
- Tutti
- sempre
- quantità
- ed
- risposte
- approvazione
- SONO
- AS
- At
- attacchi
- revisione
- revisione
- revisori dei conti
- Automatizzata
- precedente
- BE
- essendo
- MIGLIORE
- Meglio
- offerta
- bloccato
- Bot
- bots
- portare
- Insetto
- bug
- Acquistare
- acquirenti
- Acquisto
- by
- calcoli
- Bandi
- Materiale
- non può
- che
- Custodie
- casi
- ha causato
- catena
- dai un'occhiata
- Controlli
- rivendicare
- Uncommon
- Aziende
- completamento di una
- Compromissione
- condizioni
- Prendere in considerazione
- contatti
- contratto
- contratti
- Costo
- potuto
- coprire
- Creazione
- critico
- cruciale
- decentrata
- Dipendente
- Determinare
- sviluppatori
- diverso
- direttamente
- sconti
- dollari
- doppio controllo
- Gocce
- e
- guadagnare
- più facile
- facilmente
- o
- garantire
- errori
- eccetera
- etere
- Anche
- Ogni
- esempio
- exchange
- eseguire
- esperienza
- esperto
- esperti
- gesta
- esterno
- facilita
- fallisce
- affascinante
- tassa
- Costi
- pochi
- Compila il
- Nome
- Fissare
- Cromatografia
- Nel
- essere trovato
- frode
- da
- function
- funzionalità
- funzioni
- Guadagno
- Giochi
- ottenere
- ottenere
- Dare
- va
- buono
- maggiore
- Crescere
- linee guida
- hack
- Avere
- pesantemente
- pesante
- Aiuto
- qui
- massimo
- Come
- Tutorial
- HTTPS
- umano
- Montatura
- i
- identificare
- Impact
- implementato
- importante
- impossibile
- in
- ingresso
- intervento
- IT
- SUO
- stessa
- mantenere
- Sapere
- Cognome
- lancia
- portare
- piace
- Limitato
- elencati
- annuncio
- prestito
- Guarda
- a
- spento
- lotto
- fatto
- make
- FA
- manipolata
- molti
- mercato
- mercati
- Metadati
- milioni
- momento
- Scopri di più
- maggior parte
- Più popolare
- necessaria
- Bisogno
- esigenze
- New
- NFT
- nft gocce
- mercato nft
- Mercati NFT
- Piattaforme NFT
- vendita nft
- nft vendite
- NFTs
- famigerato
- ovvio
- of
- on
- Sul posto
- ONE
- aprire
- Operazioni
- oracolo
- Altro
- esternalizzare
- proprio
- proprietario
- proprietari
- proprietà
- parametri
- partecipare
- Passi
- Paga le
- pagamento
- posto
- sistemazione
- piattaforma
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- Popolare
- patrimonio
- possibilità
- possibile
- potenziale
- alimentato
- precedente
- prezzo
- Prezzi
- programmi
- progetto
- corretto
- propriamente
- proprietà
- protetta
- protezione
- protocolli
- Maglioni
- quillhash
- piuttosto
- motivi
- riceve
- registrazione
- ridurre
- Basic
- resti
- rimosso
- colpevole
- risultante
- tappeto tira
- norme
- Correre
- sicura
- Sicurezza
- vendita
- vendite
- Risparmi
- Scala
- Scenari
- Sezione
- sicuro
- problemi di
- Minacce alla sicurezza
- Sellers
- Vendita
- set
- dovrebbero
- Un'espansione
- singolo
- smart
- smart contract
- Verifica del contratto intelligente
- Smart Contract
- So
- alcuni
- Qualcuno
- Spot
- soggiorno
- Ancora
- conservazione
- memorizzati
- tale
- sistema
- Fai
- team
- test
- che
- Il
- loro
- Li
- si
- Strumenti Bowman per analizzare le seguenti finiture:
- a fondo
- minacce
- tempo
- suggerimenti
- a
- delle transazioni
- trasferimento
- trasferito
- Affidati ad
- capire
- USDC
- uso
- Utente
- utenti
- Prezioso
- varietà
- importantissima
- vulnerabilità
- vulnerabilità
- Vulnerabile
- Wave
- Modo..
- Web3
- progetto web3
- Sito web
- Che
- quale
- OMS
- largo
- volere
- con
- senza
- lavoro
- valore
- sarebbe
- scrivere
- Wrong
- anni
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro