Čas branja: 5 min
Naučite se zaščititi svojo tržnico pred razvpitimi vdori.
NFT-ji, ta izraz je bil hype zadnjih nekaj let. Široka paleta primerov uporabe, ki jih ima, je nepredstavljiva. Snemanje lastnine v igre v takšnem obsegu, kot ga je mogoče uporabiti, je fascinantno. Enako velja za tržnico NFT-jev.
Tržnica NFT je platforma, ki olajša in olajša prenos prenosa lastništva NFT in ima pravila tržnice NFT za nakup in prodajo. Je kraj, kjer so različni NFT-ji navedeni za prodajo, različni mehanizmi nakupa in ponudb pa izboljšajo izkušnjo prodajalcev. Kupci imajo dobro izkušnjo, ki jo poganja varnost pametnih pogodb.
Toda za trenutek pomislite, kako pomembno je, da trgi ostanejo varni ter sebe in svoje uporabnike zaščitijo pred goljufijami in vdori. Predstavljajte si, kakšna izguba bi nastala, če bi bile tržne pametne pogodbe ogrožene. Že ena sama ranljivost lahko povzroči izgubo milijonov dolarjev. To je tako strašno, kot se sliši. Trg mora biti vedno na trnih, da zagotovi varnost in varnost svojih uporabnikov pred nenehno razvijajočimi se in napredujočimi varnostnimi grožnjami web3. V podjetju QuillAudit razumemo potrebe časa in prinašamo nekaj bistvenih nasvetov za pomoč pri varovanju trga NFT. Poglejmo jih enega za drugim.
Smernice
V tem razdelku si bomo ogledali namige in kontrolne sezname tržnice nft, ki bodo vaši tržnici pomagali ostati varna v vedno večjem valu podvigov.
1. Samo funkcije lastnika
To so funkcije, do katerih ima dostop samo tržnica. Izvede jih lahko le tržnica in noben drug kupec ali prodajalec NFT. Te funkcije so zelo uporabne za nadzor nemotenega delovanja platforme. Če pa ni pravilno izveden, vas lahko stane vašega trga.
Npr. ne bi smelo priti do primera, ko bi lahko parametre provizije nastavili na 100, tako da prodajalci ne zaslužijo ničesar in da gre ves znesek prodaje lastniku (tržnici). Če je temu tako, noben uporabnik ne bo zaupal trgu in trg ne bo rasel. Za te funkcije je treba ustrezno preveriti vhodne parametre.
2. Avtomatizirani roboti
Avtomatizirani boti so programi, ki se izvajajo sami brez večjega človeškega posredovanja. Ti boti lahko vplivajo na prodajo NFT, napihnejo cene in sodelujejo pri omejenih padcih ali lansiranjih NFT. Vse to je ključnega pomena in lahko močno vpliva na trg.
Bote je mogoče ublažiti, odvrniti, blokirati in spustiti, vendar morate najprej identificirati bota na platformi, kar je skoraj nemogoče. Če želite svojo platformo rešiti pred takšnimi napadi, je najboljši način, da se obrnete na revizorje nft in jim to oddate Varnost Web3 podjetja, kot je QuillAudits, ki vam lahko to pomagajo popraviti in svetujejo, kako naprej.
3. Plačljive funkcije
Temeljito moramo preizkusiti in preveriti plačljive funkcije v naših tržnih pogodbah, kot so funkcije buy(). Vidite, ko imamo veliko pogojev IF, so njegove pogodbe odprte za ranljivosti, zato moramo zagotoviti, da v takšnih scenarijih nikoli ne zamudimo nobenega pomembnega preverjanja. Na primer, lahko pride do pogojev, v katerih funkcija prejme ether od kupca in prenese funkcijo, vendar ne izvede nekaterih kritičnih operacij, zaradi česar se bodisi zatakne v pogodbi, kar je pomembno upoštevati in razrešiti.
4. Preverjanja v zvezi z zbiranjem ponudb
Ponudbe so za uporabnike ključna funkcija trga. Toda ta funkcionalnost lahko prinese veliko hroščev, če zanjo ne poskrbimo. Oglejmo si nekaj pomembnih in potrebnih preverjanj:-
- Zelo pomembno je zagotoviti, da je ob oddaji nove ponudbe vedno višja od prejšnje ponudbe iz očitnih razlogov.
- Ali prenesete 'žeton za oddajo ponudb' (npr. usdc) v pogodbo (tj. naslov (to))? Temeljito preverite izračune.
- Ko je prodaja NFT končana, kako lahko zmagovalec zahteva NFT? Tukaj bi moral biti NFT s samo pogodbo (tj. naslov (to)), da ga lahko prenese uporabniku. In NFT je treba poslati tudi na znesek najvišje ponudbe. Še enkrat, tukaj preverite izračune.
- Kadarkoli je dana nova ponudba, je treba prejšnjemu dražitelju vrniti znesek njegove ponudbe. Včasih je ta ključna, a preprosta funkcionalnost izpuščena ali pa pride do napak pri izračunu. Zato poskrbite, da boste za to napisali testne primere.
5. Nekaj običajnih pregledov
V tem razdelku bomo obravnavali nekaj običajnih preverjanj, ki jih morajo razvijalci preveriti za tržne pametne pogodbe. Morda so pogosta, vendar niso trivialna. Nekatere ranljivosti pametne pogodbe nft, ki jih povzročajo ti nepreverjeni pogoji, lahko povzročijo veliko izgubo; tega nočemo. Oglejmo si jih.
- Preverite, ali je uporabljen orakelj. Ali je mogoče s tem orakljem manipulirati, da daje napačne odgovore?
- Ponovna uvrstitev NFT na seznam po novi ceni brez preklica prejšnjega seznama ne bi smela biti mogoča na platformah NFT.
- Samo pooblaščeni uporabniki bi morali imeti možnost kupiti NFT s plačilom pristojbine. Vedno razmislite o dvojnem preverjanju izračuna odbitka.
- Preverite, ali se vsi zunanji klici izvajajo iz pogodbe Marketplace. Če obstajajo zunanji klici nekaterih nezaupljivih pogodb v verigi, razmislite o uporabi varoval za ponovno vstopanje za zaščito.
- Preverite možnosti prednjega teka. Nekdo, ki vodi transakcijo, ne bi smel imeti možnosti izkoristiti pogodbene logike za pridobitev NFT-jev za popuste, plačilo manjše pristojbine itd.
- Če se promptna cena menjave uporablja za določitev nekaterih provizij ali nakupne cene, preverite, ali je mogoče z njo manipulirati. Ali je ranljiv za napade Flash posojila? Nikoli se ne smete zanašati na promptno ceno menjave in za cene uporabljati oraklja.
- Zagotovite, da URI-jev NFT-jev ni mogoče spremeniti, ko so enkrat nastavljeni, in da so metapodatki shranjeni v decentraliziranem sistemu za shranjevanje datotek in ne v centraliziranem pomnilniku, s katerim je mogoče enostavno manipulirati, da se izognete vlečenju preprog.
- Preverite, ali NFT ostaja na seznamu za prodajo, tudi potem, ko ga je uporabnik odstranil iz prodaje na tržnici. Ta napaka je bila najdena v eni najbolj priljubljenih platform NFT, zaradi česar so lastniki izgubili NFT.
- Nobena logika tržnice NFT ne bi smela biti odvisna od odobritve NFT na naslov pogodbe. Pri ustvarjanju nove prodaje mora vedno uporabiti funkcijo transferFrom od prodajalca k sebi. Tako da se lahko NFT po koncu prodaje neposredno prenese na kupca, ne da bi bil odvisen od odobritve prodajalca.
zaključek
Obstaja veliko NFT-jev, ki so vredni milijone dolarjev. Predstavljajte si, na koliko bi se zmanjšala njihova vrednost, če bi bile tržnice NFT ogrožene. Tega si nobena tržnica ne bi želela. Veste, tržne platforme delujejo z zaupanjem uporabnikov. Uporabniki se morajo počutiti zaščitene in varne, da lahko platforme uporabljajo v največji možni meri.
Zgoraj omenjeni pregledi so ključni in vam pomagajo rešiti vašo tržnico pred napadi. Kljub temu, kot veste, varnost vedno zahteva več. Napadi na dragocene protokole so vse pogostejši in da bi se zaščitili pred njimi, potrebujemo redne revizije naših pogodb. Kdo bi to naredil bolje kot QuillAudits? Z ekipo izkušenih strokovnjakov vam pomagamo zavarovati vaše protokole in zagotoviti vašo popolno varnost. Oglejte si našo spletno stran in zagotovite zavarovanje svojega projekta Web3!
11 Ogledov
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://blog.quillhash.com/2023/03/07/nft-marketplace-smart-contract-audit-guidelines/
- : je
- 100
- 7
- 8
- 9
- a
- Sposobna
- dostop
- Naslov
- Prednost
- po
- vsi
- vedno
- znesek
- in
- odgovori
- odobritev
- SE
- AS
- At
- Napadi
- Revizija
- revidiranje
- revizorjev
- Avtomatizirano
- nazaj
- BE
- počutje
- BEST
- Boljše
- Ponudba
- blokirana
- Bot
- bote
- prinašajo
- Bug
- hrošči
- nakup
- kupci
- Nakup
- by
- Izračuni
- poziva
- CAN
- ne more
- ki
- primeru
- primeri
- povzročilo
- verige
- preveriti
- Pregledi
- trdijo
- Skupno
- Podjetja
- dokončanje
- Ogroženo
- Pogoji
- Razmislite
- kontakt
- Naročilo
- pogodbe
- strošek
- bi
- pokrov
- Ustvarjanje
- kritično
- ključnega pomena
- decentralizirano
- Odvisno
- Ugotovite,
- Razvijalci
- drugačen
- neposredno
- popusti
- dolarjev
- dvojno preverjanje
- Kapljice
- e
- zaslužiti
- lažje
- enostavno
- bodisi
- zagotovitev
- napake
- itd
- Eter
- Tudi
- Tudi vsak
- Primer
- Izmenjava
- izvršiti
- izkušnje
- izkušen
- Strokovnjaki
- izkorišča
- zunanja
- olajša
- ne uspe
- zanimivo
- pristojbina
- pristojbine
- Nekaj
- file
- prva
- fiksna
- Flash
- za
- je pokazala,
- goljufija
- iz
- funkcija
- funkcionalnost
- funkcije
- Gain
- Games
- dobili
- pridobivanje
- Daj
- goes
- dobro
- več
- Grow
- Smernice
- žaga
- Imajo
- močno
- težka
- pomoč
- tukaj
- najvišja
- Kako
- Kako
- HTTPS
- človeškega
- hype
- i
- identificirati
- vpliv
- izvajali
- Pomembno
- nemogoče
- in
- vhod
- intervencije
- IT
- ITS
- sam
- Imejte
- Vedite
- Zadnja
- izstrelki
- vodi
- kot
- Limited
- Navedeno
- seznam
- posojila
- Poglej
- izgube
- off
- Sklop
- je
- Znamka
- IZDELA
- manipulirati
- več
- tržnica
- tržnice
- metapodatki
- milijoni
- Trenutek
- več
- Najbolj
- Najbolj popularni
- potrebno
- Nimate
- potrebe
- Novo
- NFT
- nft pade
- nft tržnica
- Tržnice NFT
- NFT platforme
- nft prodaja
- nft prodaja
- NFT
- znano
- Očitna
- of
- on
- Na kraju samem
- ONE
- odprite
- operacije
- Oracle
- Ostalo
- oddajati
- lastne
- Lastnik
- Lastniki
- lastništvo
- parametri
- sodelovanje
- vozovnice
- Plačajte
- plačilna
- Kraj
- dajanje
- platforma
- Platforme
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Popular
- posesti
- možnosti
- mogoče
- potencial
- poganja
- prejšnja
- Cena
- Cene
- programi
- Projekt
- pravilno
- pravilno
- nepremičnine
- zaščiteni
- zaščita
- protokoli
- Potegne
- Quillhash
- precej
- Razlogi
- prejme
- Snemanje
- zmanjša
- redni
- ostanki
- Odstranjeno
- povzroči
- rezultat
- preproga vleče
- pravila
- Run
- varna
- Varnost
- prodaja
- prodaja
- Shrani
- Lestvica
- scenariji
- Oddelek
- zavarovanje
- varnost
- Varnostne grožnje
- Prodajalci
- Prodaja
- nastavite
- shouldnt
- Enostavno
- sam
- pametna
- pametna pogodba
- Pametna revizija pogodbe
- Pametne pogodbe
- So
- nekaj
- nekdo
- Komercialni
- bivanje
- Še vedno
- shranjevanje
- shranjeni
- taka
- sistem
- Bodite
- skupina
- Test
- da
- O
- njihove
- Njih
- sami
- te
- temeljito
- grožnje
- čas
- nasveti
- do
- transakcija
- prenos
- prenese
- Zaupajte
- razumeli
- USDC
- uporaba
- uporabnik
- Uporabniki
- dragocene
- raznolikost
- ključnega pomena
- Ranljivosti
- ranljivost
- Ranljivi
- Wave
- način..
- Web3
- web3 projekt
- Spletna stran
- Kaj
- ki
- WHO
- široka
- bo
- z
- brez
- deluje
- vredno
- bi
- pisati
- Napačen
- let
- Vi
- Vaša rutina za
- zefirnet