Leestijd: 5 minuten
Leer hoe u uw marktplaats kunt beveiligen tegen beruchte hacks.
NFT's, deze term is de afgelopen jaren een hype geweest. De grote verscheidenheid aan use-cases die het heeft, is onvoorstelbaar. Eigendomsbezit opnemen in games op de schaal waarop het kan worden gebruikt, is fascinerend. Dat geldt ook voor de marktplaats van NFT's.
NFT-marktplaats is een platform dat NFT-overdracht van eigendom gemakkelijker maakt en vergemakkelijkt en heeft NFT-marktplaatsregels voor kopen en verkopen. Het is een plaats waar verschillende NFT's te koop worden aangeboden, en verschillende koop- en biedmechanismen verbeteren de ervaring van verkopers. Kopers hebben een goede ervaring dankzij de veiligheid van slimme contracten.
Maar bedenk even hoe cruciaal het wordt voor de marktplaatsen om veilig te blijven en zichzelf en hun gebruikers te beschermen tegen fraude en hacks. Stelt u zich eens voor hoeveel verlies er zou ontstaan โโals de slimme contracten op de markt zouden worden gecompromitteerd. Zelfs een enkele kwetsbaarheid kan leiden tot het verlies van miljoenen dollars. Dit is net zo eng als het klinkt. De marktplaats moet elke keer scherp zijn om de beveiliging en veiligheid van zijn gebruikers te waarborgen tegen de steeds evoluerende en voortschrijdende web3-beveiligingsbedreigingen. Wij bij QuillAudit begrijpen de noodzaak van het uur en brengen enkele essentiรซle tips om de NFT-marktplaats te helpen beveiligen. Laten we ze รฉรฉn voor รฉรฉn bekijken.
Richtlijnen
In dit gedeelte worden tips en checklists voor nft-marktplaatsen besproken om uw marktplaats te helpen veilig te blijven in de steeds voortschrijdende golf van exploits.
1. Alleen eigenaarsfuncties
Dit zijn de functies waartoe alleen de marktplaats toegang heeft. Alleen de marktplaats kan ze uitvoeren, en geen andere koper of verkoper van NFT. Deze functies zijn erg handig om toezicht te houden op de goede werking van het platform. Maar als het niet correct wordt geรฏmplementeerd, kan het u uw marktplaats kosten.
Er zou bijvoorbeeld geen geval moeten zijn waarin vergoedingsparameters kunnen worden ingesteld op 100, zodat verkopers niets verdienen en het volledige verkoopbedrag naar de eigenaar (marktplaats) gaat. Als dit het geval is, zullen geen gebruikers de marktplaats vertrouwen en zal de marktplaats niet groeien. Er moet een goede controle zijn op invoerparameters voor deze functies.
2. Geautomatiseerde bots
Geautomatiseerde bots zijn programma's die zelfstandig worden uitgevoerd zonder veel menselijke tussenkomst. Deze bots kunnen NFT-verkopen beรฏnvloeden, prijzen opdrijven en deelnemen aan beperkte NFT-drops of -lanceringen. Al deze zijn cruciaal en kunnen een grote impact hebben op de markt.
Bots kunnen worden beperkt, afgeschrikt, geblokkeerd en afgedaald, maar je moet eerst de bot op het platform identificeren, wat bijna onmogelijk is. Om uw platform te behoeden voor dergelijke aanvallen kunt u het beste contact opnemen met nft-auditors en dit uitbesteden aan Web3-beveiliging bedrijven zoals QuillAudits, die u kunnen helpen dit op te lossen en u kunnen adviseren hoe verder te gaan.
3. Betaalbare functies
We moeten betaalbare functies in onze marktplaatscontracten, zoals buy()-functies, grondig testen en controleren. Zie je, als we veel IF-voorwaarden hebben, staan โโde contracten open voor kwetsbaarheden, dus we moeten ervoor zorgen dat we in dergelijke scenario's nooit belangrijke controles missen. Er kunnen bijvoorbeeld omstandigheden zijn waarin de functie ether van de koper ontvangt en de functie doorgeeft, maar een aantal kritieke bewerkingen niet uitvoert, waardoor ze vast komen te zitten in het contract, wat belangrijk is om op te merken en op te lossen.
4. Aan biedingen gerelateerde controles
Bieden is een cruciale functie van de marktplaats voor gebruikers. Maar deze functionaliteit kan veel bugs met zich meebrengen als er niet voor wordt gezorgd. Laten we eens kijken naar enkele belangrijke en noodzakelijke controles: -
- Het is erg belangrijk om ervoor te zorgen dat wanneer een nieuw bod wordt uitgebracht, dit om voor de hand liggende redenen altijd hoger is dan het vorige bod.
- Draagt โโu het 'bod plaatsen token' (bijv. usdc) over naar het contract (ie adres(dit))? Controleer de berekeningen grondig.
- Hoe kan de winnaar de NFT claimen wanneer de NFT-verkoop voorbij is? Hier moet de NFT bij het contract zelf zijn (dwz adres(dit)) zodat het het aan de gebruiker kan overdragen. En NFT moet ook naar het hoogste bod worden verzonden. Nogmaals, controleer hier de berekeningen.
- Telkens wanneer een nieuw bod wordt uitgebracht, moet de vorige bieder zijn biedbedrag terugkrijgen. Soms wordt deze cruciale maar eenvoudige functionaliteit gemist of zijn er rekenfouten. Zorg er dus voor dat je hiervoor testcases schrijft.
5. Enkele veel voorkomende controles
In dit gedeelte behandelen we enkele van de algemene controles die ontwikkelaars moeten controleren op slimme contracten op de markt. Het is misschien gebruikelijk, maar het is niet triviaal. Sommige van de nft smart contract-kwetsbaarheden die door deze ongecontroleerde voorwaarden worden veroorzaakt, kunnen tot zwaar verlies leiden; dat willen we niet. Laten we ze eens bekijken.
- Controleer of er een orakel wordt gebruikt. Kan dat orakel worden gemanipuleerd om verkeerde antwoorden te geven?
- Een NFT opnieuw aanbieden tegen een nieuwe prijs zonder de vorige aanbieding te annuleren, zou niet mogelijk moeten zijn op NFT-platforms.
- Alleen geautoriseerde gebruikers zouden de NFT moeten kunnen kopen door de vergoeding te betalen. Overweeg altijd om de berekening van de aftrek van vergoedingen dubbel te controleren.
- Controleer of alle externe oproepen worden gedaan vanuit het Marketplace-contract. Als er externe oproepen zijn naar sommige niet-vertrouwde contracten in de keten, overweeg dan om Reentrancy Guards te gebruiken voor bescherming.
- Controleer op Front-running mogelijkheden. Iemand die een transactie vooropstelt, zou niet moeten kunnen profiteren van de contractlogica om NFT's te krijgen voor kortingen, minder kosten te betalen, enz.
- Als er gebruik wordt gemaakt van de contante prijs van de uitwisseling om sommige vergoedingen of de koopprijs te bepalen, controleer dan of deze kan worden gemanipuleerd. Is het kwetsbaar voor aanvallen op Flash-leningen? U moet nooit afhankelijk zijn van de spotprijs van ruil en een orakel gebruiken voor prijzen.
- Zorg ervoor dat de URI's van NFT's niet meer kunnen worden gewijzigd nadat ze zijn ingesteld en dat de metadata worden opgeslagen op een gedecentraliseerd bestandsopslagsysteem in plaats van op een gecentraliseerde opslag, die gemakkelijk kan worden gemanipuleerd om Rug Pulls te voorkomen.
- Controleer of de NFT te koop blijft staan, zelfs nadat de gebruiker deze uit de verkoop op de marktplaats heeft verwijderd. Deze bug is gevonden in een van de meest populaire NFT-platforms, waardoor eigenaren NFT's kwijtraken.
- Geen logica van de NFT-marktplaats mag afhangen van de goedkeuring van NFT aan het contractadres. Het moet altijd de transferFrom-functionaliteit van de verkoper naar zichzelf gebruiken bij het maken van een nieuwe verkoop. Zodat wanneer de verkoop is beรซindigd, NFT direct kan worden overgedragen aan de koper zonder afhankelijk te zijn van de goedkeuring van de verkoper.
Conclusie
Er zijn veel NFT's die miljoenen dollars waard zijn. Stel je voor wat hun waarde zou zijn als de NFT-marktplaatsen zouden worden gecompromitteerd. Geen enkele markt zou dat willen. U ziet, marktplaatsplatforms werken met het vertrouwen van gebruikers. De gebruikers moeten zich beschermd en veilig voelen om platforms ten volle te benutten.
De bovengenoemde controles zijn cruciaal en helpen u uw marktplaats te beschermen tegen aanvallen. Toch vraagt โโbeveiliging zoals u weet altijd om meer. Er zijn steeds meer aanvallen op waardevolle protocollen, en om ertegen beschermd te blijven, moeten we regelmatig onze contracten controleren en wie beter dan QuillAudits om dit te doen? Met een team van ervaren experts helpen we u uw protocollen te beveiligen en uw volledige veiligheid te waarborgen. Bekijk onze website en beveilig uw Web3-project!
11 keer bekeken
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://blog.quillhash.com/2023/03/07/nft-marketplace-smart-contract-audit-guidelines/
- :is
- 100
- 7
- 8
- 9
- a
- in staat
- toegang
- adres
- Voordeel
- Na
- Alles
- altijd
- bedragen
- en
- antwoorden
- goedkeuring
- ZIJN
- AS
- At
- Aanvallen
- controleren
- auditing
- accountants
- geautomatiseerde
- terug
- BE
- wezen
- BEST
- Betere
- bod
- geblokkeerd
- Bot
- bots
- brengen
- Bug
- bugs
- kopen
- kopers
- Buying
- by
- berekeningen
- oproepen
- CAN
- kan niet
- verzorging
- geval
- gevallen
- veroorzaakt
- keten
- controle
- Controles
- aanspraak maken op
- Gemeen
- Bedrijven
- compleet
- Aangetast
- voorwaarden
- Overwegen
- contact
- contract
- contracten
- Kosten
- kon
- deksel
- Wij creรซren
- kritisch
- cruciaal
- gedecentraliseerde
- Afhankelijk
- Bepalen
- ontwikkelaars
- anders
- direct
- kortingen
- dollar
- dubbel checken
- Drops
- e
- verdienen
- gemakkelijker
- gemakkelijk
- beide
- verzekeren
- fouten
- etc
- Ether
- Zelfs
- Alle
- voorbeeld
- uitwisseling
- uitvoeren
- ervaring
- ervaren
- deskundigen
- exploits
- extern
- vergemakkelijkt
- mislukt
- boeiend
- honorarium
- vergoedingen
- weinig
- Dien in
- Voornaam*
- Bepalen
- flash
- Voor
- gevonden
- bedrog
- oppompen van
- functie
- functionaliteit
- functies
- Krijgen
- Spellen
- krijgen
- het krijgen van
- Geven
- Goes
- goed
- meer
- Groeien
- richtlijnen
- hacks
- Hebben
- hard
- zwaar
- hulp
- hier
- hoogst
- Hoe
- How To
- HTTPS
- menselijk
- Hype
- i
- identificeren
- Impact
- geรฏmplementeerd
- belangrijk
- onmogelijk
- in
- invoer
- tussenkomst
- IT
- HAAR
- zelf
- Houden
- blijven
- Achternaam*
- lanceert
- leiden
- als
- Beperkt
- opgesomd
- vermelding
- lening
- Kijk
- kwijt te raken
- uit
- lot
- gemaakt
- maken
- MERKEN
- gemanipuleerd
- veel
- markt
- marktplaatsen
- Metadata
- miljoenen
- moment
- meer
- meest
- Meest populair
- noodzakelijk
- Noodzaak
- behoeften
- New
- NFT
- nft druppels
- nft marktplaats
- NFT-marktplaatsen
- NFT-platforms
- nft verkoop
- nft verkoop
- NFT's
- berucht
- Voor de hand liggend
- of
- on
- On The Spot
- EEN
- open
- Operations
- orakel
- Overige
- uitbesteden
- het te bezitten.
- eigenaar
- eigenaren
- ownership
- parameters
- deelnemen
- passes
- Betaal
- het betalen van
- plaats
- plaatsing
- platform
- platforms
- Plato
- Plato gegevensintelligentie
- PlatoData
- Populair
- bezittingen
- mogelijkheden
- mogelijk
- potentieel
- aangedreven
- vorig
- prijs
- Prijzen
- programma's
- project
- gepast
- naar behoren
- eigendom
- beschermd
- bescherming
- protocollen
- Truien
- Quillhash
- liever
- redenen
- ontvangt
- opname
- verminderen
- regelmatig
- stoffelijk overschot
- verwijderd
- resultaat
- verkregen
- tapijt trekt
- reglement
- lopen
- veilig
- Veiligheid
- sale
- verkoop
- Bespaar
- Scale
- scenario's
- sectie
- beveiligen
- veiligheid
- Beveiligingsbedreigingen
- Verkopers
- binnen XNUMX minuten
- reeks
- moet
- Eenvoudig
- single
- slim
- slim contract
- Slimme contractcontrole
- Slimme contracten
- So
- sommige
- Iemand
- Spot
- blijven
- Still
- mediaopslag
- opgeslagen
- dergelijk
- system
- Nemen
- team
- proef
- dat
- De
- hun
- Ze
- zich
- Deze
- grondig
- bedreigingen
- niet de tijd of
- tips
- naar
- transactie
- overdracht
- overgedragen
- Trust
- begrijpen
- USDC
- .
- Gebruiker
- gebruikers
- waardevol
- variรซteit
- vitaal
- kwetsbaarheden
- kwetsbaarheid
- Kwetsbaar
- Wave
- Manier..
- Web3
- web3-project
- Website
- Wat
- welke
- WIE
- breed
- wil
- Met
- zonder
- werkzaam
- waard
- zou
- schrijven
- Verkeerd
- jaar
- You
- Your
- zephyrnet