זמן קריאה: 5 דקות
למד לאבטח את השוק שלך מפני פריצות ידועות לשמצה שם בחוץ.
NFTs, המונח הזה היה הייפ בשנים האחרונות. המגוון הרחב של מקרי השימוש שיש לו הוא בלתי נתפס. הקלטת רכוש למשחקים בקנה מידה שניתן להשתמש בו היא מרתקת. כך גם השוק של NFTs.
NFT marketplace היא פלטפורמה שמקלה ומקלה על העברת בעלות על NFT ויש לה כללי שוק NFT לקנייה ומכירה. זהו מקום שבו רשומות NFTs שונות למכירה, ומנגנוני קנייה והצעות שונים משפרים את חווית המוכרים. לקונים יש חוויה טובה המופעלת על ידי האבטחה של חוזים חכמים.
אבל תחשוב לרגע כמה חיוני לשוק המקומות להישאר מאובטח ולשמור על עצמם ועל המשתמשים שלהם מפני הונאה ופריצות. תארו לעצמכם כמה הפסד ייגרם אם חוזים חכמים בשוק היו מתפשרים. אפילו פגיעות אחת עלולה להוביל לאובדן של מיליוני דולרים. זה מפחיד כמו שזה נשמע. השוק צריך לעמוד על הרגליים בכל פעם כדי להבטיח את האבטחה והבטיחות של המשתמשים שלו מאיומי אבטחה מתפתחים ומתקדמים של web3. אנו ב-QuillAudit מבינים את הצורך של השעה ומביאים כמה טיפים חיוניים שיעזרו לאבטח את שוק ה-NFT. בואו נסתכל עליהם אחד אחד.
הנחיות
חלק זה יסתכל על טיפים ורשימות בדיקה של nft marketplace שיעזרו לשוק שלך להישאר מאובטח בגל ההטבות המתקדם.
1. רק פונקציות בעלים
אלו הפונקציות שרק לשוק יש גישה אליהן. רק השוק יכול לבצע אותם, ואף לא קונה או מוכר אחר של NFT. פונקציות אלה שימושיות מאוד לפיקוח על עבודה חלקה של הפלטפורמה. אבל אם לא מיושם כראוי, זה יכול לעלות לך בשוק שלך.
למשל, לא צריך להיות מקרה שבו ניתן להגדיר פרמטרים של עמלות ל-100 כך שהמוכרים לא ירוויחו כלום וכל סכום המכירה יעבור לבעלים (השוק). אם זה המקרה, אף משתמש לא יבטח בשוק, והשוק לא יגדל. צריכה להיות בדיקה נאותה של פרמטרי קלט עבור פונקציות אלה.
2. בוטים אוטומטיים
בוטים אוטומטיים הם תוכניות שפועלות בעצמן ללא התערבות אנושית רבה. בוטים אלו יכולים להשפיע על מכירות NFT, לנפח מחירים ולהשתתף בירידה או השקות מוגבלות של NFT. כל אלה הם קריטיים ויכולים להשפיע רבות על השוק.
ניתן להקטין בוטים, להרתיע, לחסום ולרדת, אבל תחילה עליך לזהות את הבוט בפלטפורמה, וזה כמעט בלתי אפשרי. כדי להציל את הפלטפורמה שלך מהתקפות כאלה, הדרך הטובה ביותר היא ליצור קשר עם אודיטורי nft ומיקור חוץ אבטחת Web3 חברות כמו QuillAudits, שיכולות לעזור לך לתקן את זה ולייעץ כיצד להמשיך.
3. פונקציות בתשלום
עלינו לבדוק ולבדוק היטב פונקציות בתשלום בחוזי השוק שלנו, כגון פונקציות buy(). אתה מבין, כאשר יש לנו הרבה תנאי IF, החוזים שלו פתוחים לפגיעויות, אז אנחנו צריכים להבטיח שלעולם לא נחמיץ שום בדיקה חשובה בתרחישים כאלה. לדוגמה, יכולים להיות תנאים שבהם הפונקציה מקבלת אתר מהקונה ומעבירה את הפונקציה אך לא מצליחה לבצע כמה פעולות קריטיות וכתוצאה מכך תיתקעו בחוזה, דבר שחשוב לציין ולפתור.
4. צ'קים הקשורים להצעות מחיר
הגשת הצעות היא פונקציה מכרעת של השוק עבור משתמשים. אבל הפונקציונליות הזו יכולה להביא הרבה באגים אם לא מטפלים בהם. בוא נראה כמה בדיקות חשובות והכרחיות:
- חשוב מאוד לוודא שכאשר מוגשת הצעה חדשה, היא תמיד גדולה מההצעה הקודמת מסיבות ברורות.
- האם אתה מעביר את 'אסימון הצגת ההצעות' (למשל usdc) לחוזה (כלומר כתובת(זה))? בדוק היטב את החישובים.
- כאשר מכירת ה-NFT מסתיימת, כיצד יכול הזוכה לתבוע את ה-NFT? כאן ה-NFT צריך להיות עם החוזה עצמו (כלומר כתובת(זה)) כך שהוא יוכל להעביר אותו למשתמש. ו-NFT צריך להישלח גם לסכום ההצעה הגבוה ביותר. שוב, כאן בדוק את החישובים.
- בכל פעם שמוגשת הצעה חדשה, יש להחזיר למציע הקודם את סכום הצעתו. לפעמים הפונקציונליות החשובה אך הפשוטה הזו מתפספסת, או שיש טעויות חישוב. אז וודא שאתה כותב מקרי מבחן עבור זה.
5. כמה צ'קים נפוצים
בסעיף זה נסקור כמה מהבדיקות הנפוצות שמפתחים צריכים לבדוק לגבי חוזים חכמים בשוק, זה אולי נפוץ, אבל זה לא טריוויאלי. חלק מפגיעות החוזים החכמים של nft הנגרמות על ידי תנאים לא מסומנים אלו עלולות להוביל לאובדן כבד; אנחנו לא רוצים את זה. בואו נסתכל עליהם.
- בדוק אם יש אורקל בשימוש. האם ניתן לתמרן את האורקל הזה כדי לתת תשובות שגויות?
- רישום מחדש של NFT במחיר חדש מבלי לבטל את הרישום הקודם לא אמור להיות אפשרי בפלטפורמות NFT.
- רק משתמשים מורשים צריכים להיות מסוגלים לקנות את ה-NFT על ידי תשלום האגרה. כדאי תמיד לשקול בדיקה כפולה של חישוב ניכוי העמלה.
- בדוק שכל השיחות החיצוניות מתבצעות מחוזה Marketplace. אם יש שיחות חיצוניות לכמה חוזים לא מהימנים בשרשרת, שקול להשתמש ב-Reentrancy Guards להגנה.
- בדוק אם יש אפשרויות חזית. מישהו שמנהל עסקה בחזית לא אמור להיות מסוגל לנצל את ההיגיון של החוזה כדי לזכות ב-NFT להנחות, לשלם פחות עמלה וכו'.
- אם יש שימוש במחיר ספוט של החלפה כדי לקבוע עמלות או מחיר קנייה, בדוק אם ניתן לתמרן אותו. האם זה פגיע להתקפות הלוואות פלאש? לעולם אל תסמוך על מחיר הספוט של ההחלפה ותשתמש באורקל למחירים.
- ודא שלא ניתן לשנות את ה-URI של NFTs לאחר הגדרתם וכי המטא נתונים מאוחסנים במערכת אחסון קבצים מבוזרת ולא באחסון מרכזי, שניתן לתמרן בקלות כדי להימנע משיכות שטיחים.
- בדוק אם ה-NFT נשאר רשום למכירה, גם לאחר שהמשתמש הסיר אותו מהמכירה בשוק. באג זה נמצא באחת מפלטפורמות ה-NFT הפופולריות ביותר, וכתוצאה מכך הבעלים איבדו את ה-NFT.
- שום הגיון של שוק ה-NFT לא צריך להיות תלוי באישור של NFT לכתובת החוזה. הוא תמיד צריך להשתמש בפונקציונליות transferFrom מהמוכר לעצמו בעת יצירת מכירה חדשה. כך שכאשר המכירה מסתיימת, ניתן להעביר NFT ישירות לקונה ללא תלות באישור המוכר.
סיכום
יש הרבה NFTs שם בחוץ בשווי מיליוני דולרים. תארו לעצמכם למה השווי שלהם יירד אם שוק ה-NFT ייפגע. שום שוק לא ירצה את זה. אתה מבין, פלטפורמות שוק פועלות באמון המשתמשים. המשתמשים צריכים להרגיש מוגנים ובטוחים כדי להשתמש בפלטפורמות במלוא הפוטנציאל שלהם.
הבדיקות שהוזכרו לעיל הן חיוניות ועוזרות לך להציל את השוק שלך מהתקפות. ובכל זאת, כידוע, האבטחה תמיד מבקשת יותר. ישנן התקפות מתקדמות על פרוטוקולים יקרי ערך, וכדי להישאר בטוחים מהם, אנו זקוקים לביקורת קבועה של החוזים שלנו ומי יותר טוב מ-QuillAudits לעשות זאת? עם צוות מומחים מנוסים, אנו עוזרים לך לאבטח את הפרוטוקולים שלך ולהבטיח את הבטיחות המלאה שלך. בדוק את האתר שלנו ואבטח את פרויקט ה- Web3 שלך!
11 צפיות
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://blog.quillhash.com/2023/03/07/nft-marketplace-smart-contract-audit-guidelines/
- :הוא
- 100
- 7
- 8
- 9
- a
- יכול
- גישה
- כתובת
- יתרון
- לאחר
- תעשיות
- תמיד
- כמות
- ו
- תשובות
- הסכמה
- ARE
- AS
- At
- המתקפות
- בדיקה
- ביקורת
- רואי חשבון
- אוטומטי
- בחזרה
- BE
- להיות
- הטוב ביותר
- מוטב
- הצעה
- חסום
- בוט
- בוטים
- להביא
- חרק
- באגים
- לִקְנוֹת
- קונים
- קנייה
- by
- חישובים
- שיחות
- CAN
- לא יכול
- אשר
- מקרה
- מקרים
- גרם
- שרשרת
- לבדוק
- בדיקות
- לטעון
- Common
- חברות
- להשלים
- התפשר
- תנאים
- לשקול
- צור קשר
- חוזה
- חוזים
- עלות
- יכול
- לכסות
- יוצרים
- קריטי
- מכריע
- מבוזר
- תלוי
- לקבוע
- מפתחים
- אחר
- ישירות
- הנחות
- דולר
- בדיקה כפולה
- טיפות
- e
- לזכות
- קל יותר
- בקלות
- או
- לְהַבטִיחַ
- שגיאות
- וכו '
- אתר
- אֲפִילוּ
- כל
- דוגמה
- חליפין
- לבצע
- ניסיון
- מנוסה
- מומחים
- מעללים
- חיצוני
- מקל
- נכשל
- מקסים
- תשלום
- אגרות
- מעטים
- שלח
- ראשון
- לסדר
- פלאש
- בעד
- מצא
- הונאה
- החל מ-
- פונקציה
- פונקציונלי
- פונקציות
- לְהַשִׂיג
- משחקים
- לקבל
- מקבל
- לתת
- Goes
- טוב
- יותר
- לגדול
- הנחיות
- פריצות
- יש
- בִּכְבֵדוּת
- כבד
- לעזור
- כאן
- הגבוה ביותר
- איך
- איך
- HTTPS
- בן אנוש
- התלהבות
- i
- לזהות
- פְּגִיעָה
- יושם
- חשוב
- בלתי אפשרי
- in
- קלט
- התערבות
- IT
- שֶׁלָה
- עצמו
- שמור
- לדעת
- אחרון
- השקות
- עוֹפֶרֶת
- כמו
- מוגבל
- ברשימה
- רישום
- להלוות
- נראה
- לאבד
- את
- מגרש
- עשוי
- לעשות
- עושה
- מניפולציות
- רב
- שוק
- שווקים
- מידע נוסף
- מיליונים
- רֶגַע
- יותר
- רוב
- הכי פופולארי
- הכרחי
- צורך
- צרכי
- חדש
- NFT
- nft טיפות
- שוק nft
- שוקי NFT
- פלטפורמות NFT
- מכירה nft
- מכירות nft
- NFTs
- יָדוּעַ לְשִׁמצָה
- ברור
- of
- on
- על המקום
- ONE
- לפתוח
- תפעול
- אורקל
- אחר
- למיקור חוץ
- שֶׁלוֹ
- בעלים
- בעלי
- בעלות
- פרמטרים
- להשתתף
- מעברי
- תשלום
- משלם
- מקום
- הַצָבָה
- פלטפורמה
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פופולרי
- רכוש
- אפשרויות
- אפשרי
- פוטנציאל
- מופעל
- קודם
- מחיר
- מחירים
- תוכניות
- פּרוֹיֶקט
- תָקִין
- כמו שצריך
- רכוש
- מוּגָן
- .
- פרוטוקולים
- מושך
- קווילהש
- במקום
- סיבות
- מקבל
- הקלטה
- להפחית
- רגיל
- שְׂרִידִים
- הוסר
- תוצאה
- וכתוצאה מכך
- מושך שטיח
- כללי
- הפעלה
- בטוח
- בְּטִיחוּת
- SALE
- מכירות
- שמור
- סולם
- תרחישים
- סעיף
- לבטח
- אבטחה
- איומים ביטחוניים
- סלרס
- מכירת
- סט
- צריך
- פָּשׁוּט
- יחיד
- חכם
- חוזה חכם
- ביקורת חוזים חכמה
- חוזים חכמים
- So
- כמה
- מישהו
- מסחרי
- להשאר
- עוד
- אחסון
- מאוחסן
- כזה
- מערכת
- לקחת
- נבחרת
- מבחן
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- עצמם
- אלה
- בִּיסוֹדִיוּת
- איומים
- זמן
- טיפים
- ל
- עסקה
- להעביר
- הועבר
- סומך
- להבין
- דולר ארה"ב
- להשתמש
- משתמש
- משתמשים
- בעל ערך
- מגוון
- חיוני
- פגיעויות
- פגיעות
- פגיע
- גל
- דֶרֶך..
- Web3
- פרויקט web3
- אתר
- מה
- אשר
- מי
- רָחָב
- יצטרך
- עם
- לְלֹא
- עובד
- ראוי
- היה
- לכתוב
- טעות
- שנים
- אתה
- זפירנט