Lästid: 5 minuter
Lär dig att säkra din marknadsplats från ökända hacks där ute.
NFTs, denna term har varit en hype under de senaste åren. Det stora utbudet av användningsfall den har är ofattbar. Att spela in egendomsinnehav till spel i den skala det kan användas på är fascinerande. Så är marknadsplatsen för NFTs.
NFT marketplace är en plattform som underlättar och gör NFT överföring av äganderätt lättare och har NFT marknadsplatsregler för köp och försäljning. Det är en plats där olika NFT:er är listade för försäljning, och olika köp- och budmekanismer förbättrar säljarnas upplevelse. Köpare har en bra upplevelse som drivs av säkerheten i smarta kontrakt.
Men tänk för ett ögonblick hur avgörande det blir för marknadsplatserna att hålla sig säkra och skydda sig själva och sina användare från bedrägerier och hacks. Föreställ dig hur mycket förlust det skulle bli om marknadens smarta kontrakt äventyras. Även en enda sårbarhet kan leda till förlust av miljontals dollar. Det här är lika skrämmande som det låter. Marknaden måste vara på tårna varje gång för att säkerställa säkerheten och säkerheten för sina användare från ständigt utvecklande och framåtskridande webb3-säkerhetshot. Vi på QuillAudit förstår behovet av timmen och ger några viktiga tips för att säkra NFT-marknaden. Låt oss titta på dem en efter en.
Riktlinjer
Det här avsnittet kommer att titta på tips och nft-marknadsplatschecklistor för att hjälpa din marknadsplats att hålla sig säker i den ständigt framskridande vågen av bedrifter.
1. Endast ägarfunktioner
Det är dessa funktioner som bara marknadsplatsen har tillgång till. Endast marknadsplatsen kan utföra dem, och ingen annan köpare eller säljare av NFT. Dessa funktioner är mycket användbara för att övervaka att plattformen fungerar smidigt. Men om det inte implementeras på rätt sätt kan det kosta din marknadsplats.
Det bör t.ex. inte finnas ett fall där avgiftsparametrar kan sättas till 100 så att säljarna inte tjänar något och hela försäljningsbeloppet går till ägaren (marknadsplatsen). Om så är fallet kommer inga användare att lita på marknadsplatsen, och marknadsplatsen kommer inte att växa. Det bör finnas en ordentlig kontroll av ingångsparametrar för dessa funktioner.
2. Automatiserade bots
Automatiserade bots är program som körs på egen hand utan mycket mänsklig inblandning. Dessa bots kan påverka NFT-försäljningen, höja priserna och delta i begränsade NFT-sänkningar eller lanseringar. Alla dessa är avgörande och kan starkt påverka marknaden.
Bots kan mildras, avskräckas, blockeras och sjunka ner, men du måste först identifiera boten på plattformen, vilket är nästan omöjligt. För att rädda din plattform från sådana attacker är det bästa sättet att kontakta nft auditors och outsourca detta till Web3 säkerhet företag som QuillAudits, som kan hjälpa dig att fixa det och ge råd om hur du ska gå vidare.
3. Betalbara funktioner
Vi måste noggrant testa och kontrollera betalbara funktioner i våra marknadsplatskontrakt, såsom buy()-funktioner. Du förstår, när vi har många IF-villkor är dess kontrakt öppna för sårbarheter, så vi måste se till att vi aldrig missar några viktiga kontroller i sådana scenarier. Till exempel kan det finnas förhållanden där funktionen tar emot eter från köparen och klarar funktionen men misslyckas med att utföra några kritiska operationer vilket resulterar i att antingen fastnar i kontraktet, vilket är viktigt att notera och lösa.
4. Budgivningsrelaterade kontroller
Budgivning är en avgörande funktion på marknadsplatsen för användarna. Men den här funktionen kan ge många buggar om den inte tas om hand. Låt oss se några viktiga och nödvändiga kontroller:
- Det är mycket viktigt att se till att när ett nytt bud läggs är det alltid större än det tidigare budet av uppenbara skäl.
- Överför du "budplaceringstoken" (t.ex. usdc) till kontraktet (dvs adress(detta))? Kontrollera beräkningarna noggrant.
- När NFT-försäljningen är över, hur kan vinnaren göra anspråk på NFT? Här bör NFT vara med själva kontraktet (dvs adressen(denna)) så att det kan överföras till användaren. Och NFT ska också skickas till det högsta budbeloppet. Återigen, kolla här beräkningarna.
- Närhelst ett nytt bud läggs ska den tidigare budgivaren återföras sitt budbelopp. Ibland missas denna avgörande men enkla funktionalitet, eller så finns det beräkningsfel. Så se till att du skriver testfall för detta.
5. Några vanliga kontroller
I det här avsnittet kommer vi att täcka några av de vanliga kontrollerna som utvecklare behöver kontrollera för smarta kontrakt på marknaden, det kan vara vanligt, men det är inte trivialt. Några av nft-smarta kontraktssårbarheterna som orsakas av dessa okontrollerade förhållanden kan leda till stora förluster; det vill vi inte. Låt oss ta en titt på dem.
- Kontrollera om det finns ett orakel som används. Kan det oraklet manipuleras för att ge felaktiga svar?
- Att åternotera en NFT till ett nytt pris utan att avbryta den tidigare noteringen bör inte vara möjligt på NFT-plattformar.
- Endast auktoriserade användare ska kunna köpa NFT genom att betala avgiften. Du bör alltid överväga att dubbelkolla beräkningen av avgiftsavdraget.
- Kontrollera att alla externa samtal görs från Marketplace-kontraktet. Om det finns externa samtal till vissa opålitliga kontrakt i kedjan, överväg att använda Reentrancy Guards för skydd.
- Kontrollera om det finns möjlighet att köra fram. Någon som leder en transaktion bör inte kunna dra fördel av kontraktslogiken för att få NFTs för rabatter, betala mindre avgift, etc.
- Om det finns en användning av spotpris för utbyte för att fastställa vissa avgifter eller köppris, kontrollera om det kan manipuleras. Är det sårbart för Flash-lånsattacker? Du bör aldrig lita på spotpriset för utbyte och använda ett orakel för priser.
- Se till att URI:erna för NFT:er inte kan ändras när de väl har ställts in och att metadata lagras på ett decentraliserat fillagringssystem snarare än centraliserad lagring, som enkelt kan manipuleras för att undvika Rug Pulls.
- Kontrollera om NFT finns kvar till försäljning, även efter att användaren har tagit bort den från rean på marknadsplatsen. Denna bugg hittades i en av de mest populära NFT-plattformarna, vilket resulterade i att ägare förlorade NFT.
- Ingen logik för NFT-marknaden bör bero på godkännandet av NFT till kontraktsadressen. Den ska alltid använda transferFrom-funktionen från säljaren till sig själv när den skapar en ny försäljning. Så att när försäljningen är avslutad kan NFT direkt överföras till köparen utan att vara beroende av säljarens godkännande.
Slutsats
Det finns många NFTs där ute värda miljontals dollar. Föreställ dig vad deras värde skulle minska till om NFT-marknadsplatserna äventyras. Ingen marknadsplats skulle vilja det. Du förstår, marknadsplatsplattformar drivs med användarnas förtroende. Användarna ska känna sig skyddade och trygga för att använda plattformar till sin fulla potential.
De ovan nämnda kontrollerna är avgörande och hjälper dig att rädda din marknadsplats från attacker. Ändå kräver säkerheten som bekant alltid mer. Det finns ständigt framskridande attacker på värdefulla protokoll, och för att skydda oss från dem behöver vi regelbunden granskning av våra kontrakt och vem är bättre än QuillAudits för att göra detta? Med ett team av erfarna experter hjälper vi dig att säkra dina protokoll och säkerställa din fullständiga säkerhet. Kolla in vår hemsida och säkra ditt Web3-projekt!
11 Visningar
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://blog.quillhash.com/2023/03/07/nft-marketplace-smart-contract-audit-guidelines/
- :är
- 100
- 7
- 8
- 9
- a
- Able
- tillgång
- adress
- Fördel
- Efter
- Alla
- alltid
- mängd
- och
- svar
- godkännande
- ÄR
- AS
- At
- Attacker
- revision
- revision
- revisorer
- Automatiserad
- tillbaka
- BE
- Där vi får lov att vara utan att konstant prestera,
- BÄST
- Bättre
- bud
- blockerad
- Bot
- botar
- föra
- Bug
- fel
- Köp
- köpare
- Uppköp
- by
- beräkningar
- Samtal
- KAN
- kan inte
- vilken
- Vid
- fall
- orsakas
- kedja
- ta
- Kontroller
- patentkrav
- Gemensam
- Företag
- fullborda
- Äventyras
- villkor
- Tänk
- kontakta
- kontrakt
- kontrakt
- Pris
- kunde
- täcka
- Skapa
- kritisk
- avgörande
- decentraliserad
- beroende
- Bestämma
- utvecklare
- olika
- direkt
- rabatter
- dollar
- dubbelkolla
- Droppar
- e
- tjänar
- lättare
- lätt
- antingen
- säkerställa
- fel
- etc
- Eter
- Även
- Varje
- exempel
- utbyta
- exekvera
- erfarenhet
- erfaren
- experter
- bedrifter
- extern
- underlättar
- misslyckas
- fascinerande
- avgift
- avgifter
- få
- Fil
- Förnamn
- Fast
- Blixt
- För
- hittade
- bedrägeri
- från
- fungera
- funktionalitet
- funktioner
- Få
- Games
- skaffa sig
- få
- Ge
- Går
- god
- större
- Väx
- riktlinjer
- hacka
- Har
- kraftigt
- tung
- hjälpa
- här.
- högsta
- Hur ser din drömresa ut
- How To
- HTTPS
- humant
- Hype
- i
- identifiera
- Inverkan
- genomföras
- med Esport
- omöjligt
- in
- ingång
- ingripande
- IT
- DESS
- sig
- Ha kvar
- Vet
- Efternamn
- lanserar
- leda
- tycka om
- Begränsad
- Noterade
- lista
- lån
- se
- förlora
- förlust
- Lot
- gjord
- göra
- GÖR
- manipuleras
- många
- marknadsplats
- marknads
- metadata
- miljoner
- ögonblick
- mer
- mest
- Mest populär
- nödvändigt för
- Behöver
- behov
- Nya
- NFT
- nft droppar
- nft marknadsplats
- NFT-marknadsplatser
- NFT-plattformar
- nft försäljning
- nft försäljning
- NFT
- ökänd
- Uppenbara
- of
- on
- På pricken
- ONE
- öppet
- Verksamhet
- orakel
- Övriga
- lägga ut
- egen
- ägaren
- ägare
- ägande
- parametrar
- delta
- passerar
- Betala
- betalar
- Plats
- placering
- plattform
- Plattformar
- plato
- Platon Data Intelligence
- PlatonData
- Populära
- ägodelar
- Möjligheterna
- möjlig
- potentiell
- drivs
- föregående
- pris
- Priser
- program
- projektet
- rätt
- ordentligt
- egenskapen
- skyddad
- skydd
- protokoll
- Drar
- Pilbåt
- snarare
- skäl
- erhåller
- inspelning
- minska
- regelbunden
- resterna
- avlägsnas
- resultera
- resulterande
- matta drar
- regler
- Körning
- säker
- Säkerhet
- Till Salu
- försäljning
- Save
- Skala
- scenarier
- §
- säkra
- säkerhet
- Säkerhetshot
- Säljare
- Försäljningen
- in
- skall
- Enkelt
- enda
- smarta
- smart kontrakt
- Smart kontraktsrevision
- Smarta kontrakt
- So
- några
- någon
- Spot
- bo
- Fortfarande
- förvaring
- lagras
- sådana
- system
- Ta
- grupp
- testa
- den där
- Smakämnen
- deras
- Dem
- sig själva
- Dessa
- grundligt
- hot
- tid
- Tips
- till
- transaktion
- överföring
- överförd
- Litar
- förstå
- USDC
- användning
- Användare
- användare
- Värdefulla
- mängd
- avgörande
- sårbarheter
- sårbarhet
- Sårbara
- Våg
- Sätt..
- Web3
- web3-projekt
- Webbplats
- Vad
- som
- VEM
- bred
- kommer
- med
- utan
- arbetssätt
- värt
- skulle
- skriva
- Fel
- år
- Om er
- Din
- zephyrnet