Lesetid: 5 minutter
Lær å sikre markedsplassen din mot beryktede hacks der ute.
NFTs, dette begrepet har vært en hype de siste årene. Det store utvalget av brukstilfeller den har er utenkelig. Det er fascinerende å registrere eiendomsbesittelser til spill i den skalaen det kan brukes på. Det samme er markedsplassen for NFT-er.
NFT marketplace er en plattform som tilrettelegger og gjør NFT overføring av eierskap enklere og har NFT markedsplassregler for kjøp og salg. Det er et sted hvor forskjellige NFT-er er oppført for salg, og forskjellige kjøps- og budmekanismer forbedrer selgernes opplevelse. Kjøpere har en god opplevelse drevet av sikkerheten til smarte kontrakter.
Men tenk et øyeblikk hvor avgjørende det blir for markedsplassene å holde seg sikre og beskytte seg selv og brukerne sine fra svindel og hacks. Tenk deg hvor mye tap det ville bli hvis markedsplassens smarte kontrakter ble kompromittert. Selv en enkelt sårbarhet kan føre til tap av millioner av dollar. Dette er like skummelt som det høres ut. Markedsplassen må være på tærne hver gang for å sikre sikkerheten og sikkerheten til sine brukere fra stadig utviklende og fremmende web3-sikkerhetstrusler. Vi i QuillAudit forstår behovet for timen og kommer med noen viktige tips for å sikre NFT-markedet. La oss se på dem en etter en.
Retningslinjer
Denne delen vil se på tips og nft-markedsplass-sjekklister for å hjelpe markedsplassen din med å holde seg sikker i den stadig økende bølgen av utnyttelser.
1. Kun eierfunksjoner
Dette er funksjonene som kun markedsplassen har tilgang til. Bare markedsplassen kan utføre dem, og ingen annen kjøper eller selger av NFT. Disse funksjonene er svært nyttige for å overvåke at plattformen fungerer jevnt. Men hvis det ikke implementeres riktig, kan det koste deg markedsplassen din.
Det bør for eksempel ikke være et tilfelle der gebyrparametere kan settes til 100 slik at selgere ikke tjener noe og hele salgsbeløpet går til eieren(markedsplassen). Hvis dette er tilfelle, vil ingen brukere stole på markedsplassen, og markedsplassen vil ikke vokse. Det bør være en skikkelig kontroll av inngangsparametere for disse funksjonene.
2. Automatiserte roboter
Automatiserte roboter er programmer som kjører på egen hånd uten mye menneskelig innblanding. Disse robotene kan påvirke NFT-salg, øke prisene og delta i begrensede NFT-slipp eller lanseringer. Alle disse er avgjørende og kan ha stor innvirkning på markedet.
Bots kan reduseres, avskrekkes, blokkeres og senkes, men du må først identifisere boten på plattformen, noe som er nesten umulig. For å redde plattformen din fra slike angrep, er den beste måten å kontakte nft auditors og outsource dette til Web3 sikkerhet selskaper som QuillAudits, som kan hjelpe deg med å fikse det og gi råd om hvordan du går frem.
3. Betalbare funksjoner
Vi må teste og sjekke funksjoner som skal betales grundig i våre markedsplasskontrakter, for eksempel buy()-funksjoner. Du skjønner, når vi har mange IF-forhold, er kontraktene åpne for sårbarheter, så vi må sørge for at vi aldri går glipp av noen viktige kontroller i slike scenarier. For eksempel kan det være forhold der funksjonen mottar eter fra kjøperen og passerer funksjonen, men ikke klarer å utføre noen kritiske operasjoner, noe som resulterer i enten å bli sittende fast i kontrakten, noe som er viktig å merke seg og løse.
4. Budrelaterte sjekker
Budgivning er en avgjørende funksjon av markedsplassen for brukere. Men denne funksjonaliteten kan føre til mange feil hvis den ikke blir tatt hånd om. La oss se noen viktige og nødvendige kontroller:
- Det er svært viktig å sikre at når et nytt bud legges inn, er det alltid større enn det forrige budet av åpenbare grunner.
- Overfører du 'budplasseringstoken' (f.eks. usdc) til kontrakten (dvs. adresse(dette))? Sjekk beregningene grundig.
- Når NFT-salget er over, hvordan kan vinneren kreve NFT? Her bør NFT være med selve kontrakten (dvs. adressen(denne)) slik at den kan overføre den til brukeren. Og NFT skal også sendes til det høyeste budbeløpet. Igjen, sjekk utregningene her.
- Hver gang et nytt bud legges inn, skal den forrige budgiveren få tilbakeført sitt budbeløp. Noen ganger savnes denne avgjørende, men enkle funksjonaliteten, eller det er beregningsfeil. Så sørg for at du skriver testcases for dette.
5. Noen vanlige sjekker
I denne delen vil vi dekke noen av de vanlige sjekkene som utviklere trenger for å se etter smarte kontrakter på markedet, det kan være vanlig, men det er ikke trivielt. Noen av nft smart kontraktssårbarhetene forårsaket av disse ukontrollerte forholdene kan føre til store tap; det ønsker vi ikke. La oss ta en titt på dem.
- Sjekk om det er et orakel som brukes. Kan det oraklet manipuleres til å gi feil svar?
- Å notere en NFT på nytt til en ny pris uten å kansellere den forrige noteringen skal ikke være mulig på NFT-plattformer.
- Kun autoriserte brukere skal kunne kjøpe NFT ved å betale avgiften. Du bør alltid vurdere å dobbeltsjekke salærfradragsberegningen.
- Sjekk at alle eksterne samtaler blir gjort fra Marketplace-kontrakten. Hvis det er eksterne oppringninger til noen upålitelige kontrakter i kjeden, bør du vurdere å bruke Reentrancy Guards for beskyttelse.
- Se etter muligheter for frontkjøring. Noen som leder en transaksjon skal ikke kunne dra nytte av kontraktslogikken for å få NFT-er for rabatter, betale mindre gebyr osv.
- Hvis det er bruk av spotkurs for å bestemme noen avgifter eller kjøpspris, sjekk om det kan manipuleres. Er det sårbart for Flash-lånsangrep? Du bør aldri stole på spotprisen for bytte og bruke et orakel for priser.
- Sørg for at URI-ene til NFT-er ikke kan endres når de er angitt, og at metadataene lagres på et desentralisert fillagringssystem i stedet for sentralisert lagring, som enkelt kan manipuleres for å unngå Rug Pulls.
- Sjekk om NFT forblir oppført for salg, selv etter at brukeren har fjernet den fra salget på markedsplassen. Denne feilen ble funnet i en av de mest populære NFT-plattformene, noe som resulterte i at eiere mistet NFT-er.
- Ingen logikk i NFT-markedsplassen skal være avhengig av godkjenning av NFT til kontraktsadressen. Den skal alltid bruke transferFrom-funksjonaliteten fra selgeren til seg selv når den oppretter et nytt salg. Slik at når salget er avsluttet kan NFT overføres direkte til kjøper uten å være avhengig av selgers godkjenning.
konklusjonen
Det er mange NFT-er der ute verdt millioner av dollar. Tenk deg hva verdien deres ville reduseres til hvis NFT-markedsplassene ble kompromittert. Ingen markedsplass vil ha det. Du skjønner, markedsplassplattformer kjører med tillit fra brukere. Brukerne skal føle seg beskyttet og trygge for å bruke plattformer til sitt fulle potensial.
De ovennevnte sjekkene er avgjørende og hjelper deg med å redde markedsplassen din fra angrep. Likevel, som du vet, krever sikkerheten alltid mer. Det er stadige angrep på verdifulle protokoller, og for å holde oss trygge fra dem trenger vi regelmessig revisjon av kontraktene våre, og hvem er bedre enn QuillAudits til å gjøre dette? Med et team av erfarne eksperter hjelper vi deg med å sikre protokollene dine og sikre din fulle sikkerhet. Sjekk ut nettsiden vår og få Web3-prosjektet ditt sikret!
11 Visninger
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://blog.quillhash.com/2023/03/07/nft-marketplace-smart-contract-audit-guidelines/
- :er
- 100
- 7
- 8
- 9
- a
- I stand
- adgang
- adresse
- Fordel
- Etter
- Alle
- alltid
- beløp
- og
- svar
- godkjenning
- ER
- AS
- At
- Angrep
- revisjon
- revisjon
- revisorer
- Automatisert
- tilbake
- BE
- være
- BEST
- Bedre
- bud
- blokkert
- Bot
- roboter
- bringe
- Bug
- bugs
- kjøpe
- Strijela
- Kjøpe
- by
- beregninger
- Samtaler
- CAN
- kan ikke
- hvilken
- saken
- saker
- forårsaket
- kjede
- sjekk
- Sjekker
- hevder
- Felles
- Selskaper
- fullføre
- kompromittert
- forhold
- Vurder
- kontakt
- kontrakt
- kontrakter
- Kostnad
- kunne
- dekke
- Opprette
- kritisk
- avgjørende
- desentralisert
- avhengig
- Bestem
- utviklere
- forskjellig
- direkte
- rabatter
- dollar
- dobbeltsjekking
- Drops
- e
- tjene
- enklere
- lett
- enten
- sikre
- feil
- etc
- Eter
- Selv
- Hver
- eksempel
- utveksling
- henrette
- erfaring
- erfaren
- eksperter
- exploits
- utvendig
- forenkler
- mislykkes
- fascinerende
- gebyr
- avgifter
- Noen få
- filet
- Først
- Fix
- Blitz
- Til
- funnet
- svindel
- fra
- funksjon
- funksjonalitet
- funksjoner
- Gevinst
- Games
- få
- få
- Gi
- Går
- god
- større
- Grow
- retningslinjer
- hacks
- Ha
- tungt
- tung
- hjelpe
- her.
- høyest
- Hvordan
- Hvordan
- HTTPS
- menneskelig
- Hype
- i
- identifisere
- Påvirkning
- implementert
- viktig
- umulig
- in
- inngang
- intervensjon
- IT
- DET ER
- selv
- Hold
- Vet
- Siste
- lanseringer
- føre
- i likhet med
- Begrenset
- oppført
- oppføring
- lån
- Se
- å miste
- tap
- Lot
- laget
- gjøre
- GJØR AT
- manipulert
- mange
- markedsplass
- markeds
- metadata
- millioner
- øyeblikk
- mer
- mest
- Mest populær
- nødvendig
- Trenger
- behov
- Ny
- NFT
- nft faller
- nft markedsplass
- NFT markedsplasser
- NFT-plattformer
- nft salg
- nft salg
- NFT-er
- notorisk
- Åpenbare
- of
- on
- På The Spot
- ONE
- åpen
- Drift
- orakel
- Annen
- outsource
- egen
- eieren
- eiere
- eierskap
- parametere
- delta
- passerer
- Betale
- betalende
- Sted
- plassering
- plattform
- Plattformer
- plato
- Platon Data Intelligence
- PlatonData
- Populær
- eiendeler
- muligheter
- mulig
- potensiell
- powered
- forrige
- pris
- Prisene
- programmer
- prosjekt
- ordentlig
- riktig
- eiendom
- beskyttet
- beskyttelse
- protokoller
- Trekker
- Quillhash
- heller
- grunner
- mottar
- innspilling
- redusere
- regelmessig
- forblir
- fjernet
- resultere
- resulterende
- teppe trekker
- regler
- Kjør
- trygge
- Sikkerhet
- salg
- salg
- Spar
- Skala
- scenarier
- Seksjon
- sikre
- sikkerhet
- Sikkerhetstrusler
- selgere
- Å Sell
- sett
- bør
- Enkelt
- enkelt
- Smart
- smart kontrakt
- Smart kontraktsrevisjon
- Smarte kontrakter
- So
- noen
- Noen
- Spot
- opphold
- Still
- lagring
- lagret
- slik
- system
- Ta
- lag
- test
- Det
- De
- deres
- Dem
- seg
- Disse
- grundig
- trusler
- tid
- tips
- til
- Transaksjonen
- overføre
- overføres
- Stol
- forstå
- USDC
- bruke
- Bruker
- Brukere
- Verdifull
- variasjon
- vital
- Sikkerhetsproblemer
- sårbarhet
- Sårbar
- Wave
- Vei..
- Web3
- web3-prosjekt
- Nettsted
- Hva
- hvilken
- HVEM
- bred
- vil
- med
- uten
- arbeid
- verdt
- ville
- skrive
- Feil
- år
- Du
- Din
- zephyrnet