Время Читать: 5 минут
Научитесь защищать свой рынок от печально известных взломов.
NFTs, этот термин был ажиотажем в течение последних нескольких лет. Широкий спектр вариантов использования невообразим. Запись владения имуществом в игры в масштабе, в котором его можно использовать, увлекательна. Как и рынок NFT.
Торговая площадка NFT — это платформа, которая облегчает и упрощает передачу права собственности на NFT и имеет правила торговой площадки NFT для покупки и продажи. Это место, где выставлены на продажу различные NFT, а различные механизмы покупки и торгов улучшают опыт продавцов. Покупатели получают хороший опыт благодаря безопасности смарт-контрактов.
Но задумайтесь на мгновение, насколько важно для торговых площадок оставаться в безопасности и оберегать себя и своих пользователей от мошенничества и взломов. Представьте, сколько потерь может возникнуть, если смарт-контракты на рынке будут скомпрометированы. Даже одна уязвимость может привести к потере миллионов долларов. Это так же страшно, как звучит. Торговая площадка должна каждый раз быть начеку, чтобы обеспечить безопасность и безопасность своих пользователей от постоянно развивающихся и развивающихся угроз безопасности web3. Мы в QuillAudit понимаем необходимость времени и предлагаем несколько важных советов, которые помогут защитить рынок NFT. Давайте посмотрим на них один за другим.
Инструкции
В этом разделе будут рассмотрены советы и контрольные списки nft marketplace, которые помогут вашей торговой площадке оставаться в безопасности в условиях постоянно растущей волны эксплойтов.
1. Функции только владельца
Это функции, к которым есть доступ только у маркетплейса. Их может выполнять только торговая площадка, и никакой другой покупатель или продавец NFT. Эти функции очень полезны для наблюдения за бесперебойной работой платформы. Но если это не реализовано должным образом, это может стоить вам вашего рынка.
Например, не должно быть случая, когда параметры комиссии могут быть установлены на 100, чтобы продавцы ничего не зарабатывали, а вся сумма продажи доставалась владельцу (рынку). Если это так, ни один пользователь не будет доверять рынку, и рынок не будет расти. Должна быть надлежащая проверка входных параметров для этих функций.
2. Автоматизированные боты
Автоматизированные боты — это программы, которые выполняются сами по себе без особого вмешательства человека. Эти боты могут влиять на продажи NFT, взвинчивать цены и участвовать в ограниченных выпусках или запусках NFT. Все это имеет решающее значение и может сильно повлиять на рынок.
Ботов можно смягчить, сдержать, заблокировать и спустить, но сначала нужно идентифицировать бота на платформе, что практически невозможно. Чтобы уберечь свою платформу от таких атак, лучше всего связаться с аудиторами nft и передать это на аутсорсинг. Безопасность Web3 такие компании, как QuillAudits, которые могут помочь вам исправить это и посоветовать, как действовать дальше.
3. Платные функции
Мы должны тщательно протестировать и проверить оплачиваемые функции в наших рыночных контрактах, такие как функции buy(). Видите ли, когда у нас много условий IF, его контракты открыты для уязвимостей, поэтому нам нужно убедиться, что мы никогда не пропустим ни одной важной проверки в таких сценариях. Например, могут быть условия, при которых функция получает эфир от покупателя и передает функцию, но не может выполнить некоторые критические операции, что приводит либо к зависанию в контракте, что важно отметить и решить.
4. Проверки, связанные с торгами
Торги являются важной функцией рынка для пользователей. Но эта функциональность может привести к множеству ошибок, если о ней не позаботиться. Давайте посмотрим на некоторые важные и необходимые проверки:
- Очень важно следить за тем, чтобы при размещении новой ставки она всегда была больше, чем предыдущая по понятным причинам.
- Переносите ли вы «токен размещения заявки» (например, usdc) в контракт (т. е. адрес (этот))? Тщательно проверьте расчеты.
- Когда распродажа NFT закончится, как победитель может получить NFT? Здесь NFT должен быть с самим контрактом (т.е. адресом(этим)), чтобы он мог передать его пользователю. И NFT также должен быть отправлен на максимальную сумму ставки. Опять же, здесь проверьте расчеты.
- Всякий раз, когда делается новая ставка, предыдущему участнику торгов должна быть возвращена сумма его ставки. Иногда эта важная, но простая функция упускается из виду или возникают ошибки в расчетах. Поэтому убедитесь, что вы пишете тестовые примеры для этого.
5. Некоторые общие проверки
В этом разделе мы рассмотрим некоторые из распространенных проверок, которые разработчики должны проверять для смарт-контрактов на рынке. Это может быть обычным, но не тривиальным. Некоторые из уязвимостей смарт-контрактов nft, вызванные этими непроверенными условиями, могут привести к большим потерям; мы этого не хотим. Давайте посмотрим на них.
- Проверьте, используется ли оракул. Можно ли манипулировать этим оракулом, чтобы он давал неверные ответы?
- Повторный листинг NFT по новой цене без отмены предыдущего листинга не должен быть возможен на платформах NFT.
- Только авторизованные пользователи должны иметь возможность покупать NFT, оплачивая комиссию. Вы всегда должны перепроверить расчет вычета комиссии.
- Убедитесь, что все внешние вызовы выполняются из контракта Marketplace. Если есть внешние вызовы некоторых ненадежных контрактов в цепочке, рассмотрите возможность использования Reentrancy Guards для защиты.
- Проверьте возможности опережения. Кто-то, кто опережает транзакцию, не должен иметь возможности воспользоваться логикой контракта, чтобы получить NFT для скидок, платить меньшую комиссию и т. д.
- Если для определения комиссий или цены покупки используется спотовая цена биржи, проверьте, можно ли ею манипулировать. Уязвим ли он для атак Flash-кредита? Вы никогда не должны зависеть от спотовой цены обмена и использовать оракул для цен.
- Убедитесь, что URI NFT не могут быть изменены после установки и что метаданные хранятся в децентрализованной системе хранения файлов, а не в централизованном хранилище, которым можно легко манипулировать, чтобы избежать Rug Pulls.
- Проверьте, остается ли NFT в списке для продажи, даже после того, как пользователь удалил его из продажи на торговой площадке. Эта ошибка была обнаружена в одной из самых популярных платформ NFT, в результате чего владельцы теряли NFT.
- Никакая логика торговой площадки NFT не должна зависеть от одобрения NFT по адресу контракта. Он всегда должен использовать функцию TransferFrom от продавца к себе при создании новой продажи. Так что, когда продажа завершена, NFT можно было напрямую передать покупателю, не завися от одобрения продавца.
Заключение
Существует множество NFT стоимостью в миллионы долларов. Представьте себе, во что упадет их стоимость, если рынки NFT будут скомпрометированы. Ни один рынок не хотел бы этого. Видите ли, рыночные платформы работают на доверии пользователей. Пользователи должны чувствовать себя защищенными и в безопасности, чтобы использовать платформы в полной мере.
Вышеупомянутые проверки имеют решающее значение и помогут вам защитить вашу торговую площадку от атак. Тем не менее, как вы знаете, безопасность всегда требует большего. Атаки на ценные протоколы постоянно совершенствуются, и чтобы оставаться в безопасности от них, нам нужен регулярный аудит наших контрактов, и кто лучше, чем QuillAudits, может это сделать? С командой опытных экспертов мы поможем вам защитить ваши протоколы и обеспечить вашу полную безопасность. Посетите наш веб-сайт и защитите свой проект Web3!
11 Просмотры
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://blog.quillhash.com/2023/03/07/nft-marketplace-smart-contract-audit-guidelines/
- :является
- 100
- 7
- 8
- 9
- a
- в состоянии
- доступ
- адрес
- плюс
- После
- Все
- всегда
- количество
- и
- ответы
- утверждение
- МЫ
- AS
- At
- нападки
- аудит
- аудит
- Аудиторы
- Автоматизированный
- назад
- BE
- не являетесь
- ЛУЧШЕЕ
- Лучшая
- предложение
- заблокировал
- Бот
- боты
- приносить
- Ошибка
- ошибки
- купить
- покупателей
- покупка
- by
- расчеты
- Объявления
- CAN
- не могу
- заботится
- случаев
- случаев
- вызванный
- цепь
- проверка
- Проверки
- утверждать
- Общий
- Компании
- полный
- Ослабленный
- Условия
- Рассматривать
- обращайтесь
- контракт
- контрактов
- Цена
- может
- чехол для варгана
- Создающий
- критической
- решающее значение
- децентрализованная
- в зависимости
- Определять
- застройщиков
- различный
- непосредственно
- скидки
- долларов
- двойная проверка
- Капли
- e
- зарабатывать
- легче
- легко
- или
- обеспечивать
- ошибки
- и т.д
- Ether
- Даже
- Каждая
- пример
- обмена
- выполнять
- опыт
- опытные
- эксперты
- использует
- и, что лучший способ
- облегчает
- не удается
- увлекательный
- Комисии
- Сборы
- несколько
- Файл
- Во-первых,
- фиксированный
- Flash
- Что касается
- найденный
- мошенничество
- от
- функция
- функциональность
- Функции
- Gain
- Игры
- получить
- получающий
- Дайте
- идет
- хорошо
- большой
- Расти
- методические рекомендации
- взломы
- Есть
- сильно
- тяжелый
- помощь
- здесь
- наивысший
- Как
- How To
- HTTPS
- человек
- Обман
- i
- определения
- Влияние
- в XNUMX году
- важную
- что она
- in
- вход
- вмешательство
- IT
- ЕГО
- саму трезвость
- Сохранить
- Знать
- Фамилия
- запускает
- вести
- такое как
- Ограниченный
- Включенный в список
- листинг
- варианты
- посмотреть
- потери
- от
- серия
- сделанный
- сделать
- ДЕЛАЕТ
- манипулировать
- многих
- рынка
- рынки
- Метаданные
- миллионы
- момент
- БОЛЕЕ
- самых
- Самые популярные
- необходимо
- Необходимость
- потребности
- Новые
- NFT
- нфт падает
- торговая площадка NFT
- Торговые площадки NFT
- Платформы NFT
- продажа нефти и газа
- продажи нефти и газа
- NFTs
- печально известный
- Очевидный
- of
- on
- На месте
- ONE
- открытый
- Операционный отдел
- оракул
- Другое
- аутсорсинг
- собственный
- владелец
- Владельцы
- собственность
- параметры
- участвовать
- проходит
- ОПЛАТИТЬ
- платить
- Часть
- размещение
- Платформа
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Популярное
- имущество
- возможности,
- возможное
- потенциал
- Питание
- предыдущий
- цена
- Цены
- программы
- Проект
- правильный
- должным образом
- собственность
- защищенный
- защиту
- протоколы
- Тянет
- Квиллхэш
- скорее
- причины
- получает
- запись
- уменьшить
- регулярный
- остатки
- удален
- результат
- в результате
- коврик тянет
- условиями,
- Run
- безопасный
- Сохранность
- sale
- главная
- Сохранить
- Шкала
- Сценарии
- Раздел
- безопасный
- безопасность
- Угрозы безопасности
- Продавцы
- продажа
- набор
- должен
- просто
- одинарной
- умный
- умный контракт
- Смарт Контракт Аудит
- Смарт-контракты
- So
- некоторые
- Кто-то
- Спотовая торговля
- оставаться
- По-прежнему
- диск
- хранить
- такие
- система
- взять
- команда
- тестXNUMX
- который
- Ассоциация
- их
- Их
- сами
- Эти
- тщательно
- угрозы
- время
- Советы
- в
- сделка
- перевод
- переданы
- Доверие
- понимать
- USDC
- использование
- Информация о пользователе
- пользователей
- ценный
- разнообразие
- жизненный
- Уязвимости
- уязвимость
- Уязвимый
- Wave
- Путь..
- Web3
- веб3 проект
- Вебсайт
- Что
- , которые
- КТО
- широкий
- будете
- без
- работает
- стоимость
- бы
- записывать
- Неправильно
- лет
- Ты
- ВАШЕ
- зефирнет