読み取り時間: 5 分
悪名高いハッキングから市場を保護する方法を学びましょう。
NFT、この用語はここ数年誇大宣伝されています。 その幅広いユースケースは想像を絶するものです。 所有物を使用できる規模でゲームに記録することは魅力的です。 NFTの市場も同様です。
NFT マーケットプレイスは、NFT の所有権の譲渡交換を促進および容易にするプラットフォームであり、売買に関する NFT マーケットプレイス ルールがあります。 これは、さまざまな NFT が売りに出されている場所であり、さまざまな購入および入札メカニズムが売り手のエクスペリエンスを向上させます。 バイヤーは、スマート コントラクトのセキュリティによって強化された優れたエクスペリエンスを利用できます。
しかし、マーケットプレイスが安全を維持し、自分自身とそのユーザーを詐欺やハッキングから守ることがどれほど重要になっているのか、少し考えてみてください。 市場のスマート コントラクトが危険にさらされた場合、どれだけの損失が生じるか想像してみてください。 3 つの脆弱性でさえ、数百万ドルの損失につながる可能性があります。 これは恐ろしいことです。 マーケットプレイスは、進化し続ける WebXNUMX セキュリティの脅威からユーザーのセキュリティと安全を確保するために、常に注意を払う必要があります。 私たち QuillAudit は、時間の必要性を理解しており、NFT 市場を保護するためのいくつかの重要なヒントを提供します。 それらをXNUMXつずつ見てみましょう。
ガイドライン
このセクションでは、進化し続けるエクスプロイトの波の中でマーケットプレイスを安全に保つためのヒントと nft マーケットプレイス チェックリストを見ていきます。
1. オーナー機能のみ
これらは、マーケットプレイスのみがアクセスできる機能です。 それらを実行できるのはマーケットプレイスのみであり、NFT の他の買い手または売り手は実行できません。 これらの機能は、プラットフォームのスムーズな動作を監視するのに非常に役立ちます。 しかし、適切に実装されていないと、市場が犠牲になる可能性があります。
たとえば、手数料パラメータを 100 に設定して、売り手が何も得ず、すべての販売額が所有者 (マーケットプレイス) に送られるようなケースがあってはなりません。 この場合、マーケットプレイスを信頼するユーザーはおらず、マーケットプレイスは成長しません。 これらの関数の入力パラメータを適切にチェックする必要があります。
2. 自動ボット
自動化されたボットは、人間の介入をあまり必要とせずに独自に実行するプログラムです。 これらのボットは、NFT の販売に影響を与え、価格を高騰させ、限られた NFT のドロップまたはローンチに参加することができます。 これらはすべて重要であり、市場に大きな影響を与える可能性があります。
ボットは軽減、抑止、ブロック、下降できますが、最初にプラットフォーム上でボットを特定する必要がありますが、これはほとんど不可能です。 プラットフォームをこのような攻撃から守る最善の方法は、nft 監査人に連絡して、これを外部委託することです。 Web3セキュリティ QuillAudits などの企業は、問題を修正し、続行する方法をアドバイスするのに役立ちます。
3.有料機能
buy() 関数など、マーケットプレイス コントラクトの有料関数を徹底的にテストおよびチェックする必要があります。 多くの IF 条件がある場合、そのコントラクトは脆弱性にさらされているため、そのようなシナリオで重要なチェックを決して見逃さないようにする必要があります。 たとえば、関数が購入者からイーサを受け取り、関数を渡しますが、いくつかの重要な操作を実行できず、コントラクトでスタックしてしまうという状況が発生する可能性があります。これは注意して解決することが重要です。
4. 入札に関するチェック
入札は、ユーザーにとって市場の重要な機能です。 しかし、この機能は注意を払わないと多くのバグを引き起こす可能性があります。 いくつかの重要で必要なチェックを見てみましょう:-
- 明らかな理由から、新しい入札が行われるときは、以前の入札よりも常に高くなるようにすることが非常に重要です。
- 「入札トークン」(例: usdc) をコントラクト (つまり、アドレス(this)) に転送しますか? 計算をよく確認してください。
- NFT セールが終了したら、勝者はどのように NFT を受け取ることができますか? ここで、NFT は、ユーザーに転送できるように、コントラクト自体 (つまり、アドレス (this)) を使用する必要があります。 そして落札金額もNFTに送ってください。 繰り返しますが、ここで計算を確認してください。
- 新しい入札が行われるときはいつでも、以前の入札者は入札額を返還する必要があります。 この重要でありながら単純な機能が見逃されたり、計算エラーが発生したりすることがあります。 そのため、必ずこのためのテスト ケースを作成してください。
5. いくつかの一般的なチェック
このセクションでは、開発者がマーケットプレイスのスマート コントラクトをチェックする必要がある一般的なチェックのいくつかについて説明します。これは一般的かもしれませんが、簡単ではありません。 これらのチェックされていない条件によって引き起こされる nft スマート コントラクトの脆弱性の一部は、大きな損失につながる可能性があります。 私たちはそれを望んでいません。 それらを見てみましょう。
- オラクルが使用されているかどうかを確認します。 そのオラクルを操作して間違った答えを出すことはできますか?
- NFT プラットフォームでは、以前の出品をキャンセルせずに新しい価格で NFT を再出品することはできません。
- 承認されたユーザーのみが料金を支払うことで NFT を購入できるようにする必要があります。 手数料控除の計算を再確認することを常に検討する必要があります。
- すべての外部呼び出しが Marketplace コントラクトから行われていることを確認します。 チェーン上に信頼されていないコントラクトへの外部呼び出しがある場合は、保護のために Reentrancy Guard を使用することを検討してください。
- フロントランニングの可能性をチェックします。 トランザクションのフロント ランニングを行っている人は、コントラクト ロジックを利用して割引のために NFT を獲得したり、手数料を減らしたりすることはできません。
- 一部の手数料または購入価格を決定するために交換のスポット価格が使用されている場合は、操作できるかどうかを確認してください。 フラッシュ ローン攻撃に対して脆弱ですか? 交換のスポット価格に依存してはならず、オラクルを使用して価格を決定してください。
- NFT の URI は一度設定すると変更できないこと、およびメタデータが集中型ストレージではなく分散型ファイル ストレージ システムに保存されていることを確認してください。これはラグプルを回避するために簡単に操作できます。
- ユーザーが NFT をマーケットプレイスでの販売から削除した後も、NFT が販売リストに残っているかどうかを確認します。 このバグは、最も人気のある NFT プラットフォームの XNUMX つで発見され、その結果、所有者は NFT を失いました。
- NFT マーケットプレイスのロジックは、コントラクト アドレスに対する NFT の承認に依存するべきではありません。 新しいセールを作成するときは、常にセラーからそれ自体への transferFrom 機能を使用する必要があります。 そのため、販売が終了すると、NFT は販売者の承認に依存せずに購入者に直接譲渡できます。
まとめ
数百万ドルの価値がある多くの NFT があります。 NFT マーケットプレイスが危険にさらされた場合、それらの価値がどれだけ低下するか想像してみてください。 それを望むマーケットプレイスはありません。 ご覧のとおり、マーケットプレイス プラットフォームはユーザーの信頼によって運営されています。 ユーザーは、プラットフォームを最大限に活用するために、保護され、安心していると感じる必要があります。
上記のチェックは非常に重要であり、市場を攻撃から守るのに役立ちます. それでも、ご存知のように、セキュリティは常により多くを要求します。 貴重なプロトコルに対する攻撃は常に進化しており、それらから安全を保つためには、定期的に契約を監査する必要があります。 経験豊富な専門家のチームにより、プロトコルを保護し、完全な安全を確保するのに役立ちます。 私たちの Web サイトをチェックして、Web3 プロジェクトを保護してください!
11 ビュー
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://blog.quillhash.com/2023/03/07/nft-marketplace-smart-contract-audit-guidelines/
- :は
- 100
- 7
- 8
- 9
- a
- できる
- アクセス
- 住所
- 利点
- 後
- すべて
- 常に
- 量
- および
- 回答
- 承認
- です
- AS
- At
- 攻撃
- 監査
- 監査
- 監査役
- 自動化
- バック
- BE
- さ
- BEST
- より良いです
- 入札
- ブロックされた
- ロボット
- ボット
- 持って来る
- バグ
- バグ
- 購入
- バイヤー
- 買収
- by
- 計算
- コール
- 缶
- これ
- 場合
- 例
- 生じました
- チェーン
- チェック
- 小切手
- クレーム
- コマンドと
- 企業
- コンプリート
- 損害を受けた
- 条件
- 検討
- 接触
- 縮小することはできません。
- 契約
- 費用
- 可能性
- カバー
- 作成
- 重大な
- 重大な
- 分権化された
- によっては
- 決定する
- 開発者
- 異なります
- 直接に
- 割引
- ドル
- ダブルチェック
- ドロップス
- e
- 稼ぐ
- 容易
- 簡単に
- どちら
- 確保
- エラー
- 等
- エーテル
- さらに
- あらゆる
- 例
- 交換
- 実行します
- 体験
- 経験豊かな
- 専門家
- エクスプロイト
- 外部
- 促進する
- 失敗
- 魅惑的な
- 代
- 費用
- 少数の
- File
- 名
- 修正する
- フラッシュ
- 発見
- 詐欺
- から
- function
- 機能性
- 機能
- 利得
- Games
- 取得する
- 受け
- 与える
- ゴエス
- 良い
- 大きい
- 成長する
- ガイドライン
- ハック
- 持ってる
- 重く
- ヘビー
- 助けます
- こちら
- 最高
- 認定条件
- How To
- HTTPS
- 人間
- 誇大広告
- i
- 識別する
- 影響
- 実装
- 重要
- 不可能
- in
- 介入
- IT
- ITS
- 自体
- キープ
- 知っている
- 姓
- 起動
- つながる
- ような
- 限定的
- リストされた
- リスト
- ローン
- 見て
- 負け
- 損失
- たくさん
- 製
- make
- 作る
- 操作
- 多くの
- 市場
- マーケットプレース
- 何百万
- 瞬間
- 他には?
- 最も
- 一番人気
- 必要
- 必要
- ニーズ
- 新作
- NFT
- nftドロップ
- nftマーケットプレイス
- NFTマーケットプレイス
- NFTプラットフォーム
- nftセール
- nft販売
- NFTs
- 悪名高いです
- 明白
- of
- on
- その場で
- ONE
- 開いた
- 業務執行統括
- オラクル
- その他
- アウトソーシング
- 自分の
- 所有者
- 所有者
- 所有権
- パラメータ
- 参加する
- パス
- 支払う
- 支払い
- 場所
- プラットフォーム
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 人気
- 持ち物
- の可能性
- 可能
- 潜在的な
- パワード
- 前
- ブランド
- 価格、またオプションについて
- プログラム
- プロジェクト
- 適切な
- 正しく
- 財産
- 保護された
- 保護
- プロトコル
- 引っ張る
- クイルハッシュ
- むしろ
- 理由は
- 受け取り
- 録音
- 減らします
- レギュラー
- 残っている
- 削除済み
- 結果
- 結果として
- 敷物を引っ張る
- ルール
- ラン
- 安全な
- 安全性
- 塩
- セールス
- Save
- 規模
- シナリオ
- セクション
- 安全に
- セキュリティ
- セキュリティ上の脅威
- 販売
- 販売
- セッションに
- すべき
- 簡単な拡張で
- スマート
- スマート契約
- スマートコントラクト監査
- スマート契約
- So
- 一部
- 誰か
- Spot
- 滞在
- まだ
- ストレージ利用料
- 保存され
- そのような
- 取る
- チーム
- test
- それ
- アプリ環境に合わせて
- それら
- 自分自身
- ボーマン
- 徹底的に
- 脅威
- 時間
- ヒント
- 〜へ
- トランザクション
- 転送
- 転送
- 信頼
- わかる
- USDC
- つかいます
- ユーザー
- users
- 貴重な
- 多様
- 極めて重要な
- 脆弱性
- 脆弱性
- 脆弱な
- ウェーブ
- 仕方..
- Web3
- web3プロジェクト
- ウェブサイト
- この試験は
- which
- 誰
- ワイド
- 意志
- 無し
- ワーキング
- 価値
- でしょう
- 書きます
- 間違った
- 年
- You
- あなたの
- ゼファーネット