Czas czytania: 5 minuty
Dowiedz się, jak zabezpieczyć swój rynek przed znanymi atakami hakerskimi.
NFT, ten termin był szumem przez ostatnie kilka lat. Mnogość jego zastosowań jest niewyobrażalna. Zapisywanie własności w grach na taką skalę, w jakiej można to wykorzystać, jest fascynujące. Podobnie jest z rynkiem NFT.
NFT marketplace to platforma, która ułatwia i ułatwia wymianę własności NFT oraz zawiera zasady kupna i sprzedaży NFT marketplace. Jest to miejsce, w którym wystawiane są na sprzedaż różne NFT, a różne mechanizmy kupowania i licytowania poprawiają wrażenia sprzedawców. Kupujący mają dobre doświadczenia dzięki bezpieczeństwu inteligentnych kontraktów.
Ale pomyśl przez chwilę, jak ważne jest, aby rynki były bezpieczne i chroniły siebie i swoich użytkowników przed oszustwami i hakerami. Wyobraź sobie, ile strat spowodowałoby naruszenie inteligentnych kontraktów na rynku. Nawet pojedyncza luka w zabezpieczeniach może doprowadzić do utraty milionów dolarów. To jest tak przerażające, jak się wydaje. Rynek musi za każdym razem czuwać, aby zapewnić bezpieczeństwo swoim użytkownikom przed stale rozwijającymi się i postępującymi zagrożeniami bezpieczeństwa web3. My w QuillAudit rozumiemy potrzebę chwili i przedstawiamy kilka istotnych wskazówek, które pomogą zabezpieczyć rynek NFT. Przyjrzyjmy się im jeden po drugim.
Wytyczne
W tej sekcji przyjrzymy się wskazówkom i listom kontrolnym nft marketplace, które pomogą Twojemu marketplace zachować bezpieczeństwo w stale rozwijającej się fali exploitów.
1. Tylko funkcje właściciela
Są to funkcje, do których dostęp ma tylko rynek. Tylko rynek może je wykonać i żaden inny kupujący ani sprzedający NFT. Funkcje te są bardzo przydatne do nadzorowania sprawnego działania platformy. Ale jeśli nie zostanie odpowiednio wdrożony, może cię to kosztować rynek.
Np. nie powinno być przypadku, w którym parametry opłaty można ustawić na 100, aby sprzedawcy nic nie zarabiali, a cała kwota sprzedaży trafia do właściciela (rynku). W takim przypadku żaden użytkownik nie będzie ufał rynkowi, a rynek nie będzie się rozwijał. Należy odpowiednio sprawdzić parametry wejściowe dla tych funkcji.
2. Zautomatyzowane boty
Zautomatyzowane boty to programy, które wykonują się samodzielnie, bez większego udziału człowieka. Te boty mogą wpływać na sprzedaż NFT, zawyżać ceny i uczestniczyć w ograniczonych spadkach lub premierach NFT. Wszystko to ma kluczowe znaczenie i może mieć duży wpływ na rynek.
Boty można łagodzić, odstraszać, blokować i schodzić, ale najpierw trzeba zidentyfikować bota na platformie, co jest prawie niemożliwe. Aby uchronić swoją platformę przed takimi atakami, najlepiej skontaktować się z audytorami nft i zlecić to firmie zewnętrznej Bezpieczeństwo Web3 firmy takie jak QuillAudits, które mogą pomóc Ci to naprawić i doradzić, jak postępować.
3. Funkcje płatne
Musimy dokładnie przetestować i sprawdzić płatne funkcje w naszych umowach marketplace, takie jak funkcje buy(). Widzisz, kiedy mamy wiele warunków IF, jego kontrakty są podatne na luki, więc musimy upewnić się, że nigdy nie przegapimy żadnej ważnej kontroli w takich scenariuszach. Na przykład mogą wystąpić warunki, w których funkcja otrzymuje eter od kupującego i przekazuje funkcję, ale nie wykonuje niektórych krytycznych operacji, co powoduje utknięcie w kontrakcie, co należy odnotować i rozwiązać.
4. Kontrole związane z licytacją
Licytacja jest kluczową funkcją rynku dla użytkowników. Ale ta funkcja może przynieść wiele błędów, jeśli się nią nie zajmie. Zobaczmy kilka ważnych i niezbędnych kontroli: -
- Bardzo ważne jest, aby przy składaniu nowej oferty zawsze była ona wyższa niż poprzednia z oczywistych powodów.
- Czy przekazujesz 'token składania ofert' (np. usdc) do umowy (tj. adres(ten))? Sprawdź dokładnie obliczenia.
- Kiedy sprzedaż NFT dobiegnie końca, w jaki sposób zwycięzca może odebrać NFT? Tutaj NFT powinien znajdować się z samą umową (tj. adresem (tym)), aby mógł ją przekazać użytkownikowi. NFT należy również wysłać do najwyższej kwoty oferty. Tutaj ponownie sprawdź obliczenia.
- Za każdym razem, gdy składana jest nowa oferta, poprzedni licytant powinien otrzymać zwrot kwoty, którą licytował. Czasami ta kluczowa, ale prosta funkcjonalność jest pomijana lub występują błędy obliczeniowe. Więc upewnij się, że piszesz przypadki testowe w tym celu.
5. Niektóre typowe kontrole
W tej sekcji omówimy niektóre typowe kontrole, które programiści muszą sprawdzić pod kątem inteligentnych umów na rynku. Może to być powszechne, ale nie jest trywialne. Niektóre luki w inteligentnych kontraktach nft spowodowane tymi niekontrolowanymi warunkami mogą prowadzić do poważnych strat; nie chcemy tego. Przyjrzyjmy się im.
- Sprawdź, czy jest używana wyrocznia. Czy ta wyrocznia może zostać zmanipulowana, aby udzielić błędnych odpowiedzi?
- Ponowne wystawianie NFT po nowej cenie bez anulowania poprzedniej aukcji nie powinno być możliwe na platformach NFT.
- Tylko upoważnieni użytkownicy powinni mieć możliwość zakupu NFT poprzez uiszczenie opłaty. Zawsze powinieneś rozważyć podwójne sprawdzenie obliczenia potrącenia opłaty.
- Sprawdź, czy wszystkie połączenia zewnętrzne są wykonywane z umowy Marketplace. Jeśli istnieją zewnętrzne połączenia z niektórymi niezaufanymi kontraktami w łańcuchu, rozważ użycie Strażników ponownego wejścia do ochrony.
- Sprawdź możliwości uruchamiania z przodu. Ktoś prowadzący transakcję nie powinien mieć możliwości skorzystania z logiki umowy w celu uzyskania NFT w celu uzyskania rabatów, uiszczenia mniejszej opłaty itp.
- Jeśli do ustalenia niektórych opłat lub ceny zakupu używana jest cena spot, sprawdź, czy można nią manipulować. Czy jest podatny na ataki Flash Loan? Nigdy nie powinieneś polegać na cenie kasowej wymiany i korzystać z wyroczni w sprawie cen.
- Upewnij się, że raz ustawione identyfikatory URI NFT nie mogą zostać zmienione, a metadane są przechowywane w zdecentralizowanym systemie przechowywania plików, a nie w scentralizowanym magazynie, którym można łatwo manipulować, aby uniknąć problemów.
- Sprawdź, czy NFT pozostaje wystawiony na sprzedaż, nawet po usunięciu go przez użytkownika ze sprzedaży na rynku. Ten błąd został znaleziony w jednej z najpopularniejszych platform NFT, w wyniku czego właściciele tracili NFT.
- Żadna logika rynku NFT nie powinna zależeć od zatwierdzenia NFT na adres umowy. Powinien zawsze korzystać z funkcjonalności transferFrom od sprzedawcy do siebie podczas tworzenia nowej sprzedaży. Aby po zakończeniu sprzedaży NFT można było przenieść bezpośrednio na kupującego bez konieczności uzyskania zgody sprzedawcy.
Wnioski
Istnieje wiele NFT wartych miliony dolarów. Wyobraź sobie, do czego zmniejszyłaby się ich wartość, gdyby rynki NFT zostały naruszone. Żaden rynek by tego nie chciał. Widzisz, platformy marketplace działają z zaufaniem użytkowników. Użytkownicy powinni czuć się chronieni i bezpieczni, aby w pełni korzystać z platform.
Wyżej wymienione kontrole są kluczowe i pomagają chronić rynek przed atakami. Mimo to, jak wiesz, bezpieczeństwo zawsze prosi o więcej. Stale pojawiają się ataki na cenne protokoły i aby się przed nimi zabezpieczyć, potrzebujemy regularnych audytów naszych umów, a kto lepiej niż QuillAudits może to zrobić? Dzięki zespołowi doświadczonych ekspertów pomagamy zabezpieczyć protokoły i zapewnić pełne bezpieczeństwo. Sprawdź naszą stronę internetową i zabezpiecz swój projekt Web3!
11 odwiedzajacy
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://blog.quillhash.com/2023/03/07/nft-marketplace-smart-contract-audit-guidelines/
- :Jest
- 100
- 7
- 8
- 9
- a
- Zdolny
- dostęp
- adres
- Korzyść
- Po
- Wszystkie kategorie
- zawsze
- ilość
- i
- odpowiedzi
- zatwierdzenie
- SĄ
- AS
- At
- Ataki
- Audyt
- audytu
- audytorzy
- zautomatyzowane
- z powrotem
- BE
- jest
- BEST
- Ulepsz Swój
- stawka
- zablokowany
- Bot
- boty
- przynieść
- Bug
- błędy
- kupować
- kupujący
- Zakup
- by
- Obliczenia
- Połączenia
- CAN
- nie może
- który
- walizka
- Etui
- powodowany
- łańcuch
- ZOBACZ
- Wykrywanie urządzeń szpiegujących
- roszczenie
- wspólny
- Firmy
- kompletny
- Zagrożone
- Warunki
- Rozważać
- skontaktuj się
- umowa
- umowy
- Koszty:
- mógłby
- pokrywa
- Tworzenie
- krytyczny
- istotny
- zdecentralizowany
- W zależności
- Ustalać
- deweloperzy
- różne
- bezpośrednio
- rabaty
- dolarów
- podwójne sprawdzanie
- Krople
- e
- zarabiać
- łatwiej
- z łatwością
- bądź
- zapewnić
- Błędy
- itp
- Eter
- Parzyste
- Każdy
- przykład
- wymiana
- wykonać
- doświadczenie
- doświadczony
- eksperci
- exploity
- zewnętrzny
- ułatwia
- nie
- fascynujący
- opłata
- Opłaty
- kilka
- filet
- i terminów, a
- Fix
- Migać
- W razie zamówieenia projektu
- znaleziono
- oszustwo
- od
- funkcjonować
- Funkcjonalność
- Funkcje
- Wzrost
- Games
- otrzymać
- miejsce
- Dać
- Goes
- dobry
- większy
- Rosnąć
- wytyczne
- hacki
- Have
- ciężko
- ciężki
- pomoc
- tutaj
- Najwyższa
- W jaki sposób
- How To
- HTTPS
- człowiek
- Szum
- i
- zidentyfikować
- Rezultat
- realizowane
- ważny
- niemożliwy
- in
- wkład
- interwencja
- IT
- JEGO
- samo
- Trzymać
- Wiedzieć
- Nazwisko
- uruchamia
- prowadzić
- lubić
- Ograniczony
- Katalogowany
- wymienianie kolejno
- pożyczka
- Popatrz
- utraty
- od
- Partia
- zrobiony
- robić
- WYKONUJE
- manipulować
- wiele
- rynek
- targowiskach
- Metadane
- miliony
- moment
- jeszcze
- większość
- Najbardziej popularne posty
- niezbędny
- Potrzebować
- wymagania
- Nowości
- NFT
- krople nft
- rynek nft
- Giełdy NFT
- Platformy NFT
- wyprzedaż nft
- sprzedaż NFT
- NFT
- notoryczny
- oczywista
- of
- on
- Na poczekaniu
- ONE
- koncepcja
- operacje
- wyrocznia
- Inne
- zlecać na zewnątrz
- własny
- właściciel
- właściciele
- własność
- parametry
- uczestniczyć
- przebiegi
- Zapłacić
- zwracając
- Miejsce
- wprowadzanie
- Platforma
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- Popularny
- dobytek
- możliwości
- możliwy
- potencjał
- powered
- poprzedni
- Cena
- Cennik
- programy
- projekt
- właściwy
- prawidłowo
- własność
- chroniony
- ochrona
- protokoły
- Ściąga
- Quillhash
- raczej
- Przyczyny
- otrzymuje
- nagranie
- zmniejszyć
- regularny
- szczątki
- Usunięto
- dalsze
- wynikły
- dywan ciągnie
- reguły
- run
- "bezpiecznym"
- Bezpieczeństwo
- sprzedaż
- sole
- Zapisz
- Skala
- scenariusze
- Sekcja
- bezpieczne
- bezpieczeństwo
- Zagrożenia bezpieczeństwa
- Sprzedający
- Sprzedawanie
- zestaw
- powinien
- Prosty
- pojedynczy
- mądry
- inteligentna umowa
- Inteligentny audyt kontraktu
- Inteligentne kontrakty
- So
- kilka
- Ktoś
- Spot
- pobyt
- Nadal
- przechowywanie
- przechowywany
- taki
- system
- Brać
- zespół
- test
- że
- Połączenia
- ich
- Im
- sami
- Te
- całkowicie
- zagrożenia
- czas
- wskazówki
- do
- transakcja
- przenieść
- przeniesione
- Zaufaj
- zrozumieć
- USDC
- posługiwać się
- Użytkownik
- Użytkownicy
- Cenny
- różnorodność
- istotny
- Luki w zabezpieczeniach
- wrażliwość
- Wrażliwy
- fala
- Droga..
- Web3
- projekt web3
- Strona internetowa
- Co
- który
- KIM
- szeroki
- będzie
- w
- bez
- pracujący
- wartość
- by
- napisać
- Źle
- lat
- You
- Twój
- zefirnet