阅读时间: 5 分钟
学习保护您的市场免受臭名昭著的黑客攻击。
NFTs,这个词在过去几年里一直被炒作。 它拥有的各种用例是难以想象的。 将资产记录到可以使用的规模的游戏中是很有趣的。 NFT 的市场也是如此。
NFT 市场是一个平台,它促进并使 NFT 所有权转移交换更容易,并具有 NFT 市场买卖规则。 这是一个不同的NFTs上市销售的地方,不同的购买和竞价机制提升了卖家的体验。 买家在智能合约的安全性支持下拥有良好的体验。
但想一想,保持市场安全并保护自己和用户免受欺诈和黑客攻击是多么重要。 想象一下,如果市场智能合约遭到破坏,将会造成多大的损失。 即使是一个漏洞也可能导致数百万美元的损失。 这听起来很可怕。 市场每次都需要保持警惕,以确保其用户的安全免受不断发展和进步的 web3 安全威胁。 我们 QuillAudit 了解当下的需求,并带来一些重要的提示来帮助保护 NFT 市场。 让我们一一看看。
指南
本节将介绍技巧和 nft 市场清单,以帮助您的市场在不断发展的攻击浪潮中保持安全。
1. 只有所有者功能
这些是只有市场可以访问的功能。 只有市场可以执行它们,没有其他 NFT 的买家或卖家。 这些功能对于监督平台的平稳运行非常有用。 但如果实施不当,可能会让您失去市场。
例如,不应该有费用参数可以设置为 100 的情况,这样卖家就什么都赚不到,所有的销售金额都归所有者(市场)所有。 如果是这样的话,没有用户会信任市场,市场也不会增长。 应该对这些函数的输入参数进行适当的检查。
2. 自动化机器人
自动化机器人是无需太多人为干预即可自行执行的程序。 这些机器人可以影响 NFT 的销售、抬高价格并参与有限的 NFT 投放或发布。 所有这些都是至关重要的,并且会严重影响市场。
Bot可以被缓解、威慑、阻断、下沉,但必须先在平台上识别出Bot,这几乎是不可能的。 为了使您的平台免受此类攻击,最好的方法是联系 nft 审计员并将其外包给 Web3 安全 像 QuillAudits 这样的公司,可以帮助您解决这个问题并建议如何进行。
3. 付费功能
我们必须彻底测试和检查市场合约中的可支付功能,例如 buy() 功能。 你看,当我们有很多 IF 条件时,它的合约很容易出现漏洞,所以我们需要确保在这种情况下我们不会错过任何重要的检查。 例如,可能存在函数从买方接收以太币并传递函数但未能执行某些关键操作导致卡在合约中的情况,这一点很重要,需要注意和解决。
4.投标相关检查
出价是市场对用户来说至关重要的功能。 但是如果不加以注意,此功能会带来很多错误。 让我们看看一些重要且必要的检查:-
- 非常重要的是要确保在下新出价时,由于显而易见的原因,它总是大于以前的出价。
- 您是否将“投标代币”(例如usdc)转移到合同(即地址(this))? 彻底检查计算。
- 当 NFT 销售结束时,获胜者如何领取 NFT? 这里的NFT应该和合约本身(即address(this))在一起,这样才能转账给用户。 NFT 也应该发送给最高出价金额。 再次,在这里检查计算。
- 每当有新的投标时,应将先前投标人的投标金额转回。 有时会错过这个关键而简单的功能,或者存在计算错误。 因此,请确保为此编写测试用例。
5. 一些常见的检查
在本节中,我们将介绍开发人员需要检查市场智能合约的一些常见检查,这可能很常见,但并非微不足道。 这些未经检查的情况导致的一些nft智能合约漏洞可能会导致重大损失; 我们不希望那样。 让我们来看看它们。
- 检查是否使用了oracle。 是否可以操纵该预言机给出错误的答案?
- 在 NFT 平台上应该不可能在不取消先前上市的情况下以新价格重新上市 NFT。
- 只有授权用户才能通过支付费用购买 NFT。 您应该始终考虑仔细检查费用扣除计算。
- 检查是否所有外部调用都是从市场合约进行的。 如果链上有一些不受信任的合约有外部调用,可以考虑使用 Reentrancy Guards 进行保护。
- 检查抢先交易的可能性。 抢先交易的人不应该能够利用合约逻辑来获得 NFT 以获得折扣、支付更少的费用等。
- 如果使用交易所的现货价格来确定一些费用或购买价格,请检查它是否可以被操纵。 它容易受到闪电贷攻击吗? 您永远不应该依赖交易所的现货价格并使用 oracle 来获取价格。
- 确保 NFT 的 URI 一旦设置就不能更改,并且元数据存储在去中心化的文件存储系统而不是中心化存储中,这样可以很容易地操作以避免 Rug Pulls。
- 检查 NFT 是否仍然挂牌出售,即使在用户将其从市场上移除后也是如此。 这个错误是在一个最流行的 NFT 平台中发现的,导致所有者丢失 NFT。
- NFT 市场的任何逻辑都不应该依赖于 NFT 对合约地址的批准。 在创建新销售时,它应该始终使用从卖家到自己的 transferFrom 功能。 这样当销售结束时,NFT可以直接转移给买家,而不需要依赖卖家的认可。
结论
市面上有许多价值数百万美元的 NFT。 想象一下,如果 NFT 市场受到损害,它们的价值会降低到什么程度。 没有市场会想要那样。 你看,市场平台在用户的信任下运行。 用户应该感到受到保护和安全,以充分发挥平台的潜力。
上述检查至关重要,可帮助您保护市场免受攻击。 不过,正如您所知,安全总是要求更多。 有价值的协议不断受到攻击,为了免受攻击,我们需要定期审计我们的合同,还有谁能比 QuillAudits 更好地做到这一点? 我们拥有一支经验丰富的专家团队,可帮助您保护协议并确保您的完全安全。 查看我们的网站并确保您的 Web3 项目安全!
11 观点
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://blog.quillhash.com/2023/03/07/nft-marketplace-smart-contract-audit-guidelines/
- :是
- 100
- 7
- 8
- 9
- a
- Able
- ACCESS
- 地址
- 优点
- 后
- 所有类型
- 时刻
- 量
- 和
- 答案
- 批准
- 保健
- AS
- At
- 攻击
- 审计
- 审计
- 核数师
- 自动化
- 背部
- BE
- 作为
- 最佳
- 更好
- 出价
- 封锁
- 博特
- 机器人
- 带来
- 问题
- 虫子
- 购买
- 买家
- 买房
- by
- 计算
- 呼叫
- CAN
- 不能
- 关心
- 案件
- 例
- 造成
- 链
- 查
- 支票
- 要求
- 相当常见
- 公司
- 完成
- 妥协
- 条件
- 考虑
- CONTACT
- 合同
- 合同的
- 价格
- 可以
- 外壳
- 创造
- 危急
- 关键
- 分散
- 根据
- 确定
- 开发
- 不同
- 直接
- 折扣
- 美元
- 仔细检查
- 滴
- e
- 赚
- 更容易
- 容易
- 或
- 确保
- 故障
- 等
- 以太币
- 甚至
- 所有的
- 例子
- 交换
- 执行
- 体验
- 有经验
- 专家
- 功勋
- 外部
- 功能有助于
- 失败
- 迷人
- 费
- 费用
- 少数
- 文件
- (名字)
- 固定
- Flash
- 针对
- 发现
- 骗局
- 止
- 功能
- 功能
- 功能
- Gain增益
- Games
- 得到
- 越来越
- 给
- GOES
- 非常好
- 更大的
- 增长
- 方针
- 黑客
- 有
- 严重
- 重
- 帮助
- 相关信息
- 最高
- 创新中心
- How To
- HTTPS
- 人
- 炒作
- i
- 鉴定
- 影响力故事
- 实施
- 重要
- 不可能
- in
- 输入
- 介入
- IT
- 它的
- 本身
- 保持
- 知道
- (姓氏)
- 启动
- 铅
- 喜欢
- 有限
- 已发布
- 清单
- 贷款
- 看
- 失去
- 离
- 占地
- 制成
- 使
- 制作
- 操纵
- 许多
- 市场
- 交易市场
- 元数据
- 百万
- 时刻
- 更多
- 最先进的
- 最受欢迎的产品
- 必要
- 需求
- 需要
- 全新
- NFT
- nft滴
- NFT市场
- NFT市场
- NFT平台
- nft 销售
- nft 销售
- NFT
- 臭名昭著
- 明显
- of
- on
- 当场
- 一
- 打开
- 运营
- 神谕
- 其他名称
- 外包
- 己
- 业主
- 业主
- 所有权
- 参数
- 参加
- 通行证
- 付款
- 地方
- 配售
- 平台
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 热门
- 财产
- 可能性
- 可能
- 潜力
- 供电
- 以前
- 车资
- 价格
- 节目
- 项目
- 正确
- 正确
- 财产
- 保护
- 保护
- 协议
- 拉
- 散列
- 宁
- 原因
- 接收
- 了解
- 减少
- 定期
- 遗迹
- 去除
- 导致
- 导致
- 地毯拉
- 定位、竞价/采购和分析/优化数字媒体采购,但算法只不过是解决问题的操作和规则。
- 运行
- 安全
- 实现安全
- 盐
- 销售
- 保存
- 鳞片
- 情景
- 部分
- 安全
- 保安
- 安全威胁
- 卖家
- 卖房
- 集
- 应该
- 简易
- 单
- 智能
- 聪明的合同
- 智能合约审计
- 智能合同
- So
- 一些
- 有人
- Spot
- 留
- 仍
- 存储
- 存储
- 这样
- 系统
- 采取
- 团队
- test
- 这
- 其
- 他们
- 他们自己
- 博曼
- 透
- 威胁
- 次
- 秘诀
- 至
- 交易
- 转让
- 转移
- 信任
- 理解
- USDC
- 使用
- 用户
- 用户
- 有价值
- 各种
- 重要
- 漏洞
- 漏洞
- 脆弱
- 波
- 方法..
- Web3
- web3 项目
- 您的网站
- 什么是
- 这
- WHO
- 宽
- 将
- 也完全不需要
- 加工
- 价值
- 将
- 写
- 错误
- 年
- 完全
- 您一站式解决方案
- 和风网