阅读时间: 6 分钟
2021 年对于 NFT 来说是有趣的一年。
在此期间出售了最昂贵的 NFT,包括 Beeple 的艺术品、最稀有的 CryptoPunk 收藏等。因此,与 NFT 相关的有趣特征是可验证性和无需信任的转移。
简而言之,NFT 转账记录在区块链中,因此可以在需要时获取信息以进行验证。 此外,区块链支持 NFT 买卖双方之间的转移,使交易可信。
不利的一面是,NFT 安全性质疑合法性问题和欺诈活动。 该博客将 NFT 网络安全生态系统中的所有这些事件与加密货币安全的相关数据分享。
考虑到以太坊区块链的易用性和可靠性,分析在其上运行的 NFT 以发现有效的加密货币安全问题。
本博客涵盖的关键概念
- 以太坊区块链概述和 NFT 的功能
- 将 NFT 生态系统分解为用户、NFT 市场和外部实体
- NFT 市场遇到的 NFT 安全漏洞
- 外部实体面临的问题
- 用户执行的最新 NFT 威胁
NFT 在以太坊区块链上的工作
以太坊区块链是仅次于比特币的第二大区块链网络。 以太坊的认知度上升到从 10 年的近 000 个用户,到两年内以太坊上的 2020 万个 DeFi 用户。
以太坊技术为其原生 ETH 代币和许多其他基于它的 dapp 提供支持。 在工作量证明上运行 共识机制,这里的矿工解决了向以太坊网络添加区块的加密挑战。
执行和智能合约部署在 以太坊虚拟机 来处理操作。 代币建立在以太坊区块链上,可以分为两种类型:可替代的和不可替代的。
可替代代币通常符合 ERC-20 标准,而非可替代代币符合 ERC-721 和 ERC-1155 标准。 ERC-721 是在以太坊区块链上实施不可替代代币的著名标准之一。
打破 NFT 生态系统
NFT 经济由三个类别组成,
- 用户 谁是数字资产的买家和卖家
- 交易市场 充当宣传资产和推动其销售的中间人
- 外部实体 为用户和 NFT 市场提供基础设施和托管服务
用户
NFT 经济的用户分为买家、卖家和内容创建者三类。
- 内容创作者创造数字艺术,但在将其转换为 NFT 方面可能技术不强。 一些创作者可能同时扮演创造和铸造的角色,而另一些则授权卖家将其转换为 NFT。
- 卖家铸造 NFT 并在 NFT 市场上开放供买家购买。
- 买家在市场网站上竞标 NFT 并获得资产的所有权。
交易市场
市场的运作涉及两个界面:
- 网页前端
这是用户进行交互以从卖家那里购买 NFT 或发起交易的地方。 为此,该网站要求用户进行身份验证以设置用于列出 NFT 或购买数字艺术的帐户。
- 智能合约
市场中发生的交易与智能合约交互以执行活动。 存在两种类型的智能合约:
市场合约: NFT 市场及其协议的所有活动都通过这些合约进行管理。
代币合约: 关于代币转移的执行,工作由代币合约完成。
所有交易和代币活动都被视为 NFT 市场中的事件。 事件存储在链上或链下。
- 在链 包括将事件存储在区块链中,这应该会花费高昂的汽油费。 例如:SuperRare、Axie Infinity
- 脱链 涉及将事件存储在对气体友好的脱链数据库上。 例如:漂亮
- 杂交种另一方面,将链上和链下联系在一起,这通过密码检查进行验证。 例如:OpenSea
简而言之,Marketplace 促进了用户身份验证、代币铸造、代币上市和代币交易,
外部实体
外部实体为创作者提供 IPFS 等托管服务来存储他们的作品等。
NFT 市场面临的加密货币安全风险
NFT 市场,例如 外海、Nifty gateway、Rarible、SuperRare 等,已被研究用于安全盗窃和攻击者活动。 以下对 NFT 的威胁是基于调查结果的推论。
用户认证的身份验证: 批准个人身份信息可以防止洗钱。 但是没有发现 NFT 市场强制执行 KYC 流程,这可能会导致用户创建多个帐户,使其难以被追踪。
代币合约验证: 在将源代码提交给 Etherscan 以供公众审查以识别任何错误后,代币合约被认为是可验证的。 但是,包括 OpenSea、Sorare 和 Axie Infinity 在内的所有市场都没有强制要求将合约代码保持开源。
篡改元数据: 代币的元数据指向特定的资产。 因此,存储在第三方域中的元数据可能会被更改,从而容易受到攻击。 据确定,NFT 市场尚未对元数据篡改采取任何预防措施,因此成为 NFT 黑客的最新威胁。
买家或卖家验证: 在其个人资料中持有徽章的卖家的经过验证的帐户引起了买家社区的极大关注。 在批准卖家验证方面,Foundation 等 NFT 市场非常严格。 而其他的,比如 OpenSea,Rarible 让买家来寻找卖家的真实性,因为它没有任何强制性要求,这对 NFT 诈骗构成了更大的威胁。
对外部实体的担忧
NFT 令牌符合 ERC-721,它集成了元数据 URL。 通常,此 URL 指向数据的存储位置。 它可以是 IPFS(分散式存储)、Web 域或 Amazon S3(集中式存储)。
通常,指向外部域的 NFT 面临域失效或不可用的风险。 在这种情况下,NFT 会中断,从而使 URL 中的字段为空。
用户执行的安全风险
伪造 NFT 创建: 智能合约存储代币的所有权。 因此,为了验证令牌是否合法,建议用户访问项目网站。
记录的伪造 NFT 创建实例是,
- 原始 NFT 的名称或字符被修改的那些。
- 通过简单地复制已验证资产的 image_url 来指向现有资产的 NFT。
这些是对 NFT 买家的最新威胁。 由于 NFT 市场没有进行严格的验证来检查集合或代币是否已经存在,因此流通的假冒 NFT 记录有所增加。
投标屏蔽: 允许用户对 NFT 进行投标。 在出价屏蔽的情况下,用户 X 以高价出价,因此没有用户可以对该 NFT 进行任何进一步的出价。 然后用户 X 撤回他的出价,同时以最低价格拿走 NFT。
清洗交易: 在洗盘交易中,NFT 的创造者和卖方人为地抬高资产的价格以寻求买方的关注。 例如,CryptoKitties、Decentraland 等高价值项目涉嫌洗牌交易,为加密货币安全性增添情趣。
底线
安全漏洞事件 往往导致巨大的经济损失。
识别 NFT 的威胁是纠正它的第一步。 审计公司做到最好。 羽毛笔审计通过这种方式,正在为 NFT 和加密货币安全做出积极贡献,使去中心化空间更加可信和用户友好。
该职位 NFT 生态系统和相关的安全风险 最早出现 博客.quillhash.
- "
- 000
- 10
- 2020
- a
- 关于我们
- 获得
- 法案
- 要积极。
- 活动
- 所有类型
- 已经
- Amazon
- 艺术
- 艺术
- 艺术品
- 财富
- 办公室文员:
- 关注我们
- 认证
- 认证
- 真实性
- 意识
- 轴心
- 徽章
- 因为
- 作为
- 最佳
- 之间
- 比特币
- 阻止
- blockchain
- 博客
- 虫子
- 买家
- 案件
- 集中
- 挑战
- 类
- 码
- 采集
- 收藏
- 社体的一部分
- 公司
- 兼容
- 共识
- 内容
- 合同
- 合同的
- 伪造
- 创建信息图
- 创造
- 创建
- 创作者
- cryptocurrency
- 加密
- Cryptokitties
- 加密朋克
- 网络安全
- DApps
- data
- 数据库
- Decentraland
- 分散
- DEFI
- 部署
- 数字
- 数码艺术
- 屏 显:
- 域
- 域名
- 向下
- 驾驶
- ,我们将参加
- 经济
- 生态系统
- 实体
- ERC-20
- 等
- ETH
- 复仇
- 燕窝块
- 以太坊网络
- 事件
- 例子
- 执行
- 现有
- 昂贵
- 裸露
- 面临
- 字段
- 金融
- 姓氏:
- 缺陷
- 以下
- 发现
- 基金会
- 止
- 运作
- 进一步
- 网关
- 通常
- 越来越
- 更大的
- 黑客
- 点击此处
- 高
- 举行
- 托管
- HTTPS
- 巨大
- 鉴定
- 实施
- 包含
- 增加
- 无限
- 信息
- 基础设施
- 交互
- IPFS
- 问题
- IT
- 工作
- 保持
- KYC
- 铅
- 合法
- 清单
- 损失
- 制成
- 使
- 制作
- 制作
- 管理
- 强制性
- 市场
- 交易市场
- 措施
- 百万
- 矿工
- 造币
- 钱
- 洗钱
- 更多
- 最先进的
- 多
- 名称
- 网络
- NFT
- NFT经济
- NFT
- 不可替代
- 不可替代的代币
- 链上
- 打开
- 外海
- 操作
- 运营
- 原版的
- 其他名称
- 所有权
- 点
- 点
- 车资
- 过程
- 本人简介
- 项目
- 项目
- 协议
- 提供
- 国家
- 采购
- 购买
- 记录
- 岗位要求
- 风险
- 风险
- 角色
- 诈骗
- 保安
- 卖家
- 特色服务
- 集
- 分享
- 短
- 智能
- 聪明的合同
- 智能合同
- So
- 出售
- 解决
- 一些
- 索拉雷
- 源代码
- 太空
- 具体的
- 标准
- 存储
- 商店
- 强烈
- 超级稀有
- 服用
- 专业技术
- 条款
- 从而
- 第三方
- 三
- 通过
- 次
- 一起
- 象征
- 令牌
- 交易
- 交易
- 转让
- 转让
- 类型
- 用户
- 平时
- 企业验证
- 确认
- 验证
- 在线会议
- 洗交易
- 卷筒纸
- 您的网站
- 网站
- 是否
- 而
- WHO
- 加工
- X
- 年
- 年