Tempo de leitura: 5 minutos
Aprenda a proteger seu mercado de hacks notórios por aí.
NFTs, esse termo tem sido um exagero nos últimos anos. A grande variedade de casos de uso que ele possui é inimaginável. Registrar posses de propriedade em jogos na escala em que podem ser usadas é fascinante. Assim é o mercado de NFTs.
O mercado NFT é uma plataforma que facilita e torna mais fácil a troca de propriedade de transferência de NFT e possui regras de mercado NFT para compra e venda. É um local onde diferentes NFTs são listados para venda e diferentes mecanismos de compra e licitação aprimoram a experiência dos vendedores. Os compradores têm uma boa experiência com a segurança dos contratos inteligentes.
Mas pense por um momento em como é crucial para os mercados permanecerem seguros e protegerem a si mesmos e a seus usuários de fraudes e hacks. Imagine quanta perda resultaria se os contratos inteligentes do mercado fossem comprometidos. Mesmo uma única vulnerabilidade pode levar à perda de milhões de dólares. Isso é tão assustador quanto parece. O mercado precisa estar sempre atento para garantir a segurança de seus usuários contra ameaças de segurança da web3 em constante evolução e avanço. Nós da QuillAudit entendemos a necessidade do momento e trazemos algumas dicas vitais para ajudar a proteger o mercado de NFT. Vamos olhar para eles um por um.
orientações
Esta seção examinará dicas e listas de verificação do mercado NFT para ajudar seu mercado a permanecer seguro na onda sempre avançada de explorações.
1. Somente Funções do Proprietário
Essas são as funções às quais apenas o marketplace tem acesso. Apenas o marketplace pode executá-los, e nenhum outro comprador ou vendedor de NFT. Estas funções são muito úteis para supervisionar o bom funcionamento da plataforma. Mas, se não for implementado corretamente, pode custar seu mercado.
Por exemplo, não deve haver um caso em que os parâmetros de taxa possam ser definidos em 100 para que os vendedores não ganhem nada e todo o valor da venda vá para o proprietário (mercado). Se for esse o caso, nenhum usuário confiará no mercado e o mercado não crescerá. Deve haver uma verificação adequada nos parâmetros de entrada para essas funções.
2. Bots automatizados
Bots automatizados são programas executados por conta própria, sem muita intervenção humana. Esses bots podem impactar as vendas de NFT, aumentar os preços e participar de quedas ou lançamentos limitados de NFT. Tudo isso é crucial e pode impactar fortemente o mercado.
Os bots podem ser mitigados, dissuadidos, bloqueados e baixados, mas primeiro você deve identificar o bot na plataforma, o que é quase impossível. Para salvar sua plataforma de tais ataques, a melhor maneira é entrar em contato com os auditores da NFT e terceirizar isso para Segurança Web3 empresas como a QuillAudits, que podem ajudá-lo a corrigir isso e aconselhar como proceder.
3. Funções pagáveis
Devemos testar e verificar minuciosamente as funções pagáveis em nossos contratos de mercado, como as funções buy(). Você vê, quando temos muitas condições de IF, seus contratos estão abertos a vulnerabilidades, então precisamos garantir que nunca percamos nenhuma verificação importante em tais cenários. Por exemplo, pode haver condições nas quais a função recebe ether do comprador e passa a função, mas falha na execução de algumas operações críticas, resultando em bloqueio no contrato, o que é importante notar e resolver.
4. Verificações relacionadas a licitações
A licitação é uma função crucial do mercado para os usuários. Mas essa funcionalidade pode trazer muitos bugs se não for cuidada. Vejamos algumas verificações importantes e necessárias:-
- É muito importante garantir que quando uma nova licitação é feita, ela seja sempre maior que a licitação anterior por razões óbvias.
- Você transfere o 'token de colocação de lance' (por exemplo, usdc) para o contrato (ou seja, endereço (este))? Verifique bem os cálculos.
- Quando a venda de NFT terminar, como o vencedor poderá reivindicar o NFT? Aqui a NFT deve estar com o próprio contrato (ou seja, address(this)) para que ele possa repassar para o usuário. E a NFT também deve ser enviada para o valor do lance mais alto. Mais uma vez, verifique aqui os cálculos.
- Sempre que um novo lance for feito, o licitante anterior deve ser transferido de volta para o valor do lance. Às vezes, essa funcionalidade crucial, mas simples, é perdida ou há erros de cálculo. Portanto, certifique-se de escrever casos de teste para isso.
5. Algumas verificações comuns
Nesta seção, abordaremos algumas das verificações comuns que os desenvolvedores precisam verificar para contratos inteligentes do mercado. Pode ser comum, mas não é trivial. Algumas das vulnerabilidades do contrato inteligente nft causadas por essas condições não verificadas podem levar a grandes perdas; nós não queremos isso. Vamos dar uma olhada neles.
- Verifique se há um oráculo usado. Esse oráculo pode ser manipulado para dar respostas erradas?
- Relistar um NFT a um novo preço sem cancelar o anúncio anterior não deve ser possível em plataformas NFT.
- Somente usuários autorizados devem poder comprar o NFT pagando a taxa. Você deve sempre considerar a verificação dupla do cálculo da dedução da taxa.
- Verifique se todas as chamadas externas estão sendo feitas a partir do contrato do Marketplace. Se houver chamadas externas para alguns contratos não confiáveis na cadeia, considere o uso de guardas de reentrância para proteção.
- Verifique as possibilidades de execução frontal. Alguém que executa uma transação não deve ser capaz de aproveitar a lógica do contrato para obter NFTs para descontos, pagar menos taxas, etc.
- Caso haja utilização do preço spot de câmbio para determinar algumas taxas ou preço de compra, verifique se ele pode ser manipulado. É vulnerável a ataques de empréstimos Flash? Você nunca deve depender do preço à vista de câmbio e usar um oráculo para preços.
- Certifique-se de que os URIs de NFTs não possam ser alterados depois de definidos e que os metadados sejam armazenados em um sistema de armazenamento de arquivos descentralizado, em vez de armazenamento centralizado, que pode ser facilmente manipulado para evitar puxões de tapete.
- Verifique se a NFT continua listada para venda, mesmo depois que o usuário a retirou da venda no marketplace. Esse bug foi encontrado em uma das plataformas NFT mais populares, resultando na perda de proprietários de NFTs.
- Nenhuma lógica do mercado NFT deve depender da aprovação do NFT para o endereço do contrato. Ele sempre deve usar a funcionalidade transferFrom do vendedor para si mesmo ao criar uma nova venda. Assim, quando a venda for encerrada, a NFT pode ser transferida diretamente para o comprador sem depender da aprovação do vendedor.
Conclusão
Existem muitos NFTs por aí que valem milhões de dólares. Imagine o que o valor deles reduziria se os mercados NFT fossem comprometidos. Nenhum mercado iria querer isso. Veja bem, as plataformas de mercado são executadas com a confiança dos usuários. Os usuários devem se sentir protegidos e seguros para usar as plataformas em todo o seu potencial.
As verificações mencionadas acima são cruciais e ajudam você a salvar seu mercado de ataques. Ainda assim, como você sabe, a segurança sempre pede mais. Há ataques cada vez mais avançados a protocolos valiosos e, para nos protegermos deles, precisamos de auditoria regular de nossos contratos e quem melhor do que QuillAudits para fazer isso? Com uma equipe de especialistas experientes, ajudamos você a proteger seus protocolos e garantir sua total segurança. Confira nosso site e garanta seu projeto Web3!
11 Visualizações
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://blog.quillhash.com/2023/03/07/nft-marketplace-smart-contract-audit-guidelines/
- :é
- 100
- 7
- 8
- 9
- a
- Capaz
- Acesso
- endereço
- Vantagem
- Depois de
- Todos os Produtos
- sempre
- quantidade
- e
- respostas
- aprovação
- SOMOS
- AS
- At
- Ataques
- auditor
- auditoria
- auditores
- Automatizado
- em caminho duplo
- BE
- ser
- MELHOR
- Melhor
- oferta
- bloqueado
- Bot
- bots
- trazer
- Bug
- erros
- comprar
- compradores
- Comprar
- by
- cálculos
- chamadas
- CAN
- não podes
- Cuidado
- casas
- casos
- causado
- cadeia
- verificar
- Cheques
- reivindicar
- comum
- Empresas
- completar
- Comprometido
- condições
- Considerar
- Contacto
- contract
- contratos
- Custo
- poderia
- cobrir
- Criar
- crítico
- crucial
- descentralizado
- Dependendo
- Determinar
- desenvolvedores
- diferente
- diretamente
- descontos
- dólares
- dupla verificação
- Drops
- e
- ganhar
- mais fácil
- facilmente
- ou
- garantir
- erros
- etc.
- Ether
- Mesmo
- Cada
- exemplo
- exchange
- executar
- vasta experiência
- experiente
- especialistas
- façanhas
- externo
- facilita
- falha
- fascinante
- taxa
- Taxas
- poucos
- Envie o
- Primeiro nome
- Fixar
- Flash
- Escolha
- encontrado
- fraude
- da
- função
- funcionalidade
- funções
- Ganho
- Games
- ter
- obtendo
- OFERTE
- vai
- Bom estado, com sinais de uso
- maior
- Cresça:
- orientações
- hacks
- Ter
- fortemente
- pesado
- ajudar
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- mais
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- humano
- Hype
- i
- identificar
- Impacto
- implementado
- importante
- impossível
- in
- entrada
- da intervenção
- IT
- ESTÁ
- se
- Guarda
- Saber
- Sobrenome
- lança
- conduzir
- como
- Limitado
- Listado
- listagem
- empréstimo
- olhar
- perder
- fora
- lote
- moldadas
- fazer
- FAZ
- manipulado
- muitos
- marketplace
- marketplaces
- metadados
- milhões
- momento
- mais
- a maioria
- Mais populares
- necessário
- você merece...
- Cria
- Novo
- NFT
- NFT cai
- mercado nft
- Mercados NFT
- Plataformas NFT
- venda nft
- vendas nft
- NTF`s
- notório
- óbvio
- of
- on
- No local
- ONE
- aberto
- Operações
- oráculo
- Outros
- terceirizar
- próprio
- proprietário
- proprietários
- propriedade
- parâmetros
- participar
- passes
- Pagar
- pagar
- Lugar
- colocação
- plataforma
- Plataformas
- platão
- Inteligência de Dados Platão
- PlatãoData
- Popular
- haveres
- possibilidades
- possível
- potencial
- alimentado
- anterior
- preço
- Valores
- programas
- projeto
- adequado
- devidamente
- propriedade
- protegido
- proteção
- protocolos
- Pullover
- Quilhash
- em vez
- razões
- recebe
- gravação
- reduzir
- regular
- permanece
- Removido
- resultar
- resultando
- tapete puxa
- regras
- Execute
- seguro
- Segurança
- Promoção
- vendas
- Salvar
- Escala
- cenários
- Seção
- seguro
- segurança
- As ameaças de segurança
- VENDEDORES
- Vender
- conjunto
- rede de apoio social
- simples
- solteiro
- smart
- smart contract
- Auditoria Inteligente de Contratos
- Smart Contracts
- So
- alguns
- Alguém
- Spot
- ficar
- Ainda
- armazenamento
- armazenadas
- tal
- .
- Tire
- Profissionais
- teste
- que
- A
- deles
- Eles
- si mesmos
- Este
- completamente
- ameaças
- tempo
- dicas
- para
- transação
- transferência
- transferido
- Confiança
- compreender
- USDC
- usar
- Utilizador
- usuários
- Valioso
- variedade
- vital
- vulnerabilidades
- vulnerabilidade
- Vulnerável
- Onda
- Caminho..
- Web3
- projeto web3
- Site
- O Quê
- qual
- QUEM
- Largo
- precisarão
- de
- sem
- trabalhar
- Equivalente há
- seria
- escrever
- Errado
- anos
- Vocês
- investimentos
- zefirnet