NFT:安全可靠的NFT項目 你知道都是如何審計的嗎？_數字貨幣NFT價格

NFT項目審計概覽

NFT是英語“NonFungibleToken”的簡稱，翻譯過來即非同質化通證。一個NFT可以被理解為是存儲在區塊鏈上的一個獨一無二的單元數據。每當談及NFT通證，我們會很自然地將其與常見的ERC-20通證進行類比。但NFT通證與ERC-20通證是有區別的，兩者的區別在于任何兩個NFT通證都互不相同，不可互換，即不同質。因此，與NFT相關的操作與ERC-20通證及其它類同質數字資產的操作相比有著明顯的區別。

近年來，以NFT為核心成長出了一個全新的生態，這個生態在2021年發展尤為迅猛。但是在生態快速發展的同時，生態中的安全問題卻頻繁顯現。當業界審視這些安全問題時往往將其與ERC-20通證生態中的安全問題進行類比，但是NFT領域中出現的安全問題卻有自己的特點和差異。然而這些特點和差異卻還沒有系統地受到業界的關注和研究。

關于NFT生態中的安全問題在學術界已經有學者進行了大膽地探索和研究，比如D.Das、P.Bose、N.Ruaro、C.Kruegel和G.Vigna合著的論文。然而在實踐和具體執行過程中，對NFT安全問題該采用什么方式檢視，什么流程審查，什么措施進行防范以及從哪些角度進行防范則缺乏深入的探討和研究。

中國工程院院士沈昌祥：安全可信是元宇宙健康發展的頭等大事:金色財經報道，在中國移動通信聯合會及元宇宙產業委員會主辦的2022元宇宙共識大會開幕式上，元宇宙產業委員會共同主席、著名信息系統專家、中國工程院院士、中央網信辦專家咨詢委員會顧問沈昌祥先生演講了《要共識 安全可信是元宇宙健康發展的頂天之大事》。

沈昌祥主席指出，元宇宙將是下一代網絡空間的主要存在和表現形式，是人與機器契合的網絡化數字空間，必須建立法治體系。中國以《網絡安全法》《密碼法》《數字安全法》等為代表的網絡空間安全法律法規體系已經基本形成，其他主權國家在這方面也都形成了各自的法律法規體系。同時，世界主要先進國家在元宇宙安全方面也都展開了深入研究。網絡空間安全既是確保元宇宙系統健康運行和發展的必要保證，同時也是陸海空天以后的第五大國家主權。無論是從確保元宇宙系統安全和健康發展的角度，還是從確保國家主權和權益的角度，都必須確保元宇宙網絡空間的安全可信，確保智能社會和元宇宙的健康發展。[2022/5/27 3:45:15]

Fairyproof研究團隊根據自身積累的專業知識和審計NFT項目中積累的實踐經驗，總結了一套系統、全面的方案，在此欲與業界和關注此領域發展的同仁進行探討和交流。

浙江大學蔡亮：建議大力發展安全可控的區塊鏈平臺:浙江大學區塊鏈研究中心常務副主任蔡亮近日表示，應對發展過程中出現的數據確權、數據安全、隱私保護、流通監管等關鍵問題，建議大力發展安全、自主、可控的區塊鏈技術平臺，積極探索這一技術在改造和提升傳統產業、服務于供應鏈金融、數字身份、慈善捐助等方面的融合應用。（人民日報）[2020/9/11]

如果一個項目、應用或服務和NFT交互，則我們視其為NFT項目、NFT應用或NFT服務。如果一個應用或服務和NFT交互，我們則視這個應用或服務是整個NFT生態中的一員。所有這些應用和服務一起就組成了現在我們見到的NFT生態系統。

在這個生態系統中，根據其中每個成員在技術上扮演的角色，我們將其分為四類：NFT通證部署的區塊鏈、NFT通證的實現合約、實現商業邏輯及流程的核心應用、輔助NFT工作的應用或服務。

對于NFT項目的審計，這四類成員都需要關注和審視。如果NFT部署的區塊鏈不能正常工作，項目就失去了根本；如果NFT通證的實現合約有問題，那NFT就無法正常工作，項目就失去了內核；如果項目的商業邏輯和流程設計有問題，那項目就只剩下毫無生命力的NFT通證；如果輔助NFT工作的應用或服務不能正常工作或者項目沒有選擇合適的輔助應用或服務，則NFT就無法將其潛力充分發揮。

倪光南：自主安全可控的分布式存儲全系列解決方案為新基建所需:金色財經現場報道，8月29日，由華為、麥田云際主辦的“中國分布式存儲聯合解決方案全國發布會暨中國分布式存儲行業生態發展研討峰會”在烏鎮舉辦。中國工程院院士倪光南現場指出，2000年“國發18號文”直接促成了軟件產業從0到1的發展，2011年“國發4號文”進一步鼓勵軟件產業發展，今年的第三版文件再次實現新形勢下我國集成電路和軟件產業發展。沒有網絡安全就沒有國家和新基建的安全，華為和麥田云際合作發布的中國自主安全可控的分布式存儲全系列解決方案，對于新基建更是所需。為了確保重要領域的自主可控，有關部門對核心技術產品實施多維度測評，包含自主可控測評、質量測評、安全測評等。我們要重視信息技術體系和生態建設，大力發展自主可控的體系和生態，更好抗擊科技霸凌。[2020/8/29]

因此這四者的安全和審計缺一不可，都不能忽視。在本文接下來的篇章，我們將對這四者的安全及審計分別展開論述。

對區塊鏈的審計

動態 | 浙江仙居縣借力區塊鏈打造“省級農產品質量安全可追溯體系縣”:據中國食品安全報消息，浙江省臺州市仙居縣近日召開省級食品安全縣創建攻堅會。全縣以市場為核心，以區塊鏈為技術，針對地產型和輸入型農產品，分別建立產銷對接、批源管控、零售反溯三大追溯體系，溯源覆蓋面達100%。國務院食安辦先后2次考察調研，仙居被認定為“省級農產品質量安全可追溯體系縣”。[2019/1/3]

對于NFT項目所部署的區塊鏈，如果它是一條比較成熟的區塊鏈，則通常情況下，無需再對其進行審計，這一步可以跳過。因為成熟的區塊鏈已經在經年累月的發展和成長中，歷經各種安全事故的挑戰和磨練，在安全上已經有了較為可靠的保障和信用。如果其部署的區塊鏈是新生的，則理論上對區塊鏈的審計是不能忽略的。

對區塊鏈的審計在業界已經相對成熟。此類審計的方式、方法、流程及重點和難點已經是包括Fairyproof在內的區塊鏈安全公司比較熟練的業務和領域。對業界和安全公司來說，這類審計并不陌生。

對NFT實現合約的審計

NFT通證的實現，從技術上來講和常見的ERC-20通證類似，都是由一個或多個智能合約組成。但是，由于NFT實現所基于的通證標準和ERC-20同質通證不同，因此NFT通證中可能出現的問題也與ERC-20通證略有不同。這其中一個典型的問題就是NFT的發行功能在實現時是否使用了合適的隨機數。如果使用的隨機數不合適，則NFT在發行時可能遭遇“回滾”攻擊，即用戶可以通過不斷回滾交易，直到獲取自己偏好的NFT。因此對NFT實現合約的審計也和對ERC-20合約的審計略有不同，其主要表現在關注點、重點和難點有所不同。

動態 | 貴陽市體育中考將采取區塊鏈技術確保數據安全可靠:貴州都市報今日刊文《考試：實現“學科平等”　招生：實行“六區統籌”》，對貴陽市中考改革擬實施“方案”進行了解讀。文中提到，新體育中考采用全智能化設備考試，同時將利用區塊鏈技術，確保數據即時同步、防篡改、可追溯，使得考試數據安全性、可靠性達到較高水準，強化體育中考成績的保密性、公正性。[2018/12/16]

對此，Fairyproof在實踐中系統地總結了經驗，并開發一套自動化的審計工具，能夠快速定位NFT合約中的風險點，排除潛在風險。

對核心商業邏輯應用的審計

這里我們所指的核心商業邏輯應用主要是指在一個NFT項目中，實現商業邏輯的部分。這部分應用會和各類NFT通證交互。

在一個NFT項目中實現商業邏輯的應用通常可分為兩類：

一類是典型的互聯網2.0應用。它在項目中和NFT的交互及實現的商業邏輯比較簡單，通常只涉及一些簡單的NFT操作，比如NFT的發行、NFT的轉賬等。近年極為流行的“PFP”項目就屬于這類。

另一類是包含了互聯網2.0應用和區塊鏈智能合約的綜合應用。這類綜合應用包含的NFT操作要復雜得多，除了簡單的NFT發行和轉賬，還有NFT通證的管理、NFT通證的抵押等。現在NFT生態中最大的應用比如交易平臺就是這類。

盡管這兩類應用在復雜程度上有區別，但它們和基于ERC-20通證的應用相比都展現出一些特有的共性，這些共性也是NFT應用的共性。

這些共性主要表現在：首先NFT應用涉及的鏈上操作不如ERC-20通證應用涉及的鏈上操作復雜；其次很多NFT應用面向的用戶是非技術類人士，這些用戶有些甚至沒有區塊鏈方面的知識，也不了解基于區塊鏈的數字貨幣。

因此為了讓大量非專業領域的用戶在無需具備區塊鏈或數字貨幣知識的情況下毫無障礙地使用和參與NFT項目，很多開發團隊會花費大量的精力和資源來設計和優化用戶界面，使之更符合用戶已經在互聯網2.0應用中建立起來的習慣。這便自然而然地使一些項目在設計和開發的過程中大量沿襲使用互聯網2.0應用的技術和流程。一方面，這降低了用戶的使用門檻，更便于新用戶進入NFT領域；但另一方面，這也使得這些NFT應用有過于中心化的傾向。這種過于中心化的傾向不僅存在于應用的技術實現上，也存在于商業邏輯和流程中。

這里我們想特別強調的是：在現有NFT應用中涉及到商業邏輯和流程的部分可能會存在什么問題、是否有某些未知的隱患等還沒有引起業界尤其是安全領域從業者的足夠關注和研究。比如在目前諸多流行的NFT交易平臺中，KYC還并未被強制要求，更談不上堅決執行，在這種情況下如何防范安全事故及對黑客身份的追蹤、定位；再如對NFT項目“真偽”的驗證在大多數交易平臺上還只是可選項而非必須執行項，在這種情況下如何防止用戶誤入假冒項目；還有對于NFT原創團隊在設定及收取交易分紅方面目前各類平臺所采用的流程和方式是否存在安全上的漏洞和隱患以及是否存在欺詐和不公？......

對上述問題的展開和研究目前都鮮有看到業界提及，更遑論進行深入的探討。

對此Fairyproof一直在進行跟蹤研究和探索，并在這些方面積累和總結了經驗，并研發了一套綜合性的框架和系統，能給NFT領域的從業者提出建設性的意見及切實可行的方案。

對輔助服務或應用的審計

這里所提到的輔助服務或應用是指有助于NFT充分發揮其功能或特色的服務或應用。典型的如為NFT存儲元數據的服務或應用.

興起于2021年的PFP項目就利用了輔助服務或應用。這類典型的NFT項目往往是發行一定恒定數量的NFT，每個NFT都有一個獨一無二的圖片，每個圖片包含各種特征的組合。對每個NFT來說，這個圖片就是它的元數據。

這些圖片往往為了吸引用戶買入和持有都經過精心的設計而獨具特色，因此圖片的保存和顯示對這類NFT項目來說就顯得非常重要。很多項目在設計時都考慮了使用各種方案使圖片能夠盡量永久保存。因此什么樣的服務或應用能夠提供可靠、穩妥的永久存儲就是這些項目方關注的重點。

目前在業界常見的存儲方案主要有去中心化的存儲應用和中心化的存儲應用。前者典型的有IPFS、Arweave等。后者主要有亞馬遜云等。

但是這些存儲方案并非每個都能現成地提供永久存儲，有些可以提供永久存儲但費用較高，有些只能提供按時收費的臨時存儲，各有優缺點。因此如何綜合考慮使用一種或多種方案進行組合，構建一套能夠永久存儲的服務就是項目開發者必須考慮的問題。

但是當項目方考慮使用這些方案時，這些方案本身可能存在什么問題？在組合使用這些方案時可能存在哪些安全上的隱患或者潛在風險？如何規避和防范這些隱患或潛在風險？有關這些問題的討論和研究至今所見相當有限。

Fairyproof自成立伊始便開始關注這個領域的研究和探索，尤其是在安全實踐中可能會存在什么難點和重點等。我們基于自身的積累和實踐，探索、研發了一套系統的方案用來評價和審查NFT輔助服務或應用，并研發、部署了一套全面的流程和系統以檢視這些輔助服務或應用在各類實踐方案中可能存在的安全隱患及潛在風險。

對NFT項目的審計不單單是對NFT智能合約的審計，它是一個系統工程、是一套綜合流程，需要從生態的角度全面審視NFT本身、其核心業務邏輯及所涉及的周邊應用、基礎設施和輔助服務。

Fairyproof一直并將持續、密切地關注NFT生態的發展，持之以恒地深入研究這個領域的安全問題，在已經建立的成熟框架上繼續擴展和探索領域內最新的發展，并繼續和同業分享我們對前沿問題的思考和前瞻判斷。

Tags：NFT區塊鏈數字貨幣NFT價格NFT幣區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢十大數字貨幣交易所排名數字貨幣交易所官方網址數字貨幣詐騙案例視頻

幣安app下載