NFT:瘋狂“出圈”和刷屏之后 Web3.0熱潮下的NFT安全如何保證？_WEB3.0

最近一段時間，Web3.0不斷“刷屏”，NFT瘋狂“出圈”，有人擼空投，有人搞收藏，有人說，NFT的爆炸性增長正在推動Web3.0的發展。

Web1.0到Web2.0實現了內容的消費者向內容生產者的轉變，其本質是進行了一次從物理世界向網絡世界的平行時空的大遷徙，當我們暢談Web3.0的發展時，不得不進一步提到關于區塊鏈，因為區塊鏈的去中心化、去信任和防篡改的特性很好的對標了Web3.0的目標——創造新一代互聯網，讓每個用戶掌握自己的數據、身份和命運。

Web3.0基于區塊鏈而存在，承諾將隱私和數字身份還給用戶，同時由于NFT等的應用，實現了新的互動水平。但我們更需要的是Web3.0熱潮下NFT的諸多“危險”與“隱患”，最近NFT領域隨處可見的“黑客事件”也證明了我們需要將“安全”放在第一位。

由KONAMI研發支持的鏈游「瘋狂的馬斯克」已發行測試版本開啟內測:1月18日消息，由日本著名游戲廠商KONAMI研發支持的區塊鏈游戲項目「海格利安」（HAGLIEN）的首款鏈游「瘋狂的馬斯克」（MadMusk）已經發行了測試版本開啟內測，并于近日宣布將在游戲內開啟「惡魔城」（Castlevania）系列的專屬NFT道具，包含武器，皮膚，加成道具等，并將開設專屬關卡副本。同時，也或將支持「惡魔城」（Castlevania）系列NFT在游戲內進行某種程度的使用。[2022/1/18 8:56:20]

近期發生了哪些NFT合約安全事件？

4月21日，NBA的NFT項目合約遭受攻擊，攻擊者利用了簽名未驗證，在合約代碼中，vDatamemory參數info在傳入函數中未進行驗證導致簽名可復用，攻擊者可以通過使用其他人的簽名來進行Mint，導致項目方被瘋狂“薅羊毛”。

陳玄策：一級市場的瘋狂洗牌等原因導致GBTC持續負溢價:金色財經報道，在6月4日舉辦的《金色百家談 | 分析：灰度BTC信托溢價率對加密市場的影響》直播節目中，AOFEX戰略合作學院-K神學院院長陳玄策表示，灰度BTC信托溢價率持續保持負值有兩方面的原因：

一是市面上出現更多的信托機構產生了競爭（鎖倉期到期調倉所致）；

二是一級市場的瘋狂洗牌。由于比特幣出現多次下跌回調，恐慌情緒加劇導致數百億美元加密資產爆倉清算，使得套利空間不斷縮水，進而引發GBTC到期解鎖流出巨額資金，不再產生正反饋繼續買入GBTC份額。

本輪牛市主導力量來源于機構，在多重原因（全球疫情下大環境導致的通貨膨脹考慮貨幣貶值原因，對沖，風險分散投資，套利空間...）中，考慮購入GBTC獲得套利才是最重要的原因，一旦一級市場不支持牛市的上漲，二級市場就不具備溢價的條件。而在當前大環境影響下并不具備牛市中后期走勢爆發，這應該還將持續一段時間，除非出現重大利好如美國SEC允許數字貨幣ETF在二級股票市場發行。[2021/6/4 23:12:41]

特斯拉創始人對“比特幣是修復儲備銀行瘋狂通脹的補丁”的觀點表示贊同:近日，SpaceX和特斯拉創始人Elon Musk與一名推特用戶探討“貨幣只是在時空上轉移價值的工具”。推特用戶@Robert Breedlove發推文稱:“貨幣只是一種跨越時空移動價值的工具。黃金可以讓價值在時間上移動，但不能移動空間。法幣很適合在空間上移動價值，但不適合在時間上移動。而比特幣優化了在空間和時間上移動價值。”SpaceX和特斯拉創始人Elon Musk對此回復稱：“我們稱之為金錢的東西只是勞動分配的信息系統。真正重要的是制造商品和提供服務。我們應該從信息論的角度來看待貨幣。錯誤和延遲最少的一方獲勝。”隨后，推特用戶@Cerberus對Musk的觀點評論道：“比特幣有延遲和交易成本。但如果將其用作價值儲存和大價值傳遞，它的效率會非常高。貨幣本身就是貨幣。比特幣不需要取代它們。相反，比特幣是修復儲備銀行瘋狂通脹的補丁。”Elon Musk對此表示贊同，回復稱：“好主意。”[2021/1/17 16:21:02]

BigONE COO：平臺幣銷毀件算不上轉折 本質上只是加快了小交易所瘋狂的程度:BigONE COO程君參與陀螺問答，就問題“OKEx挑起平幣銷毀浪潮，對于未來平臺幣的發展是一個轉折事件嗎?”進行回答。程君表示，很多交易所跟風OKEx銷毀自家平臺幣，有幾點是需要注意的。在OK的公告中，除了說銷毀平臺幣之外，還有說發布了一條新的名為OKChain的公鏈，并且發行了新的積分叫做OKT。我們都知道，平臺幣應該是平臺的所有價值體現，本來如果沒有OKT，那么OKChain的價值自然也應該到OKB上面，把OKB當作通用積分就可以。但是現在銷毀后再發個新幣，那么從本質上來說，OKT+剩余的OKB應該等于原本的OKB的價值，或者更準確說，應該等于OK生態的Token價值。

但是二級市場更在意的是銷毀，所以市場表現特別好。而那些沒有準備好而生抄作業的交易所則會在后續出現問題，因為當他們銷毀之后，會發現為了一時的迎合二級市場，而給自己后面的發展減少了回旋的余地。所以這個事件算不上轉折，因為沒有看到本質上的創新。本質上只是加快了小交易所瘋狂的程度，但是對于平臺幣的本身只能算一個事件。[2020/3/5]

而在4月23日，NFT項目Akutar驚現低級漏洞，它的AkuAuction合約由于智能合約本身漏洞，導致11539ETH被鎖死在合約中。經成都鏈安技術團隊分析，發現Akutar項目的智能合約包含2個漏洞：

電影《瘋狂的比特幣》唐山殺青:網易娛樂20日消息，由岳雪剛出品，香港TVB導演陳太源導演電影《瘋狂的比特幣》殺青。據悉陳太源是香港、新加坡金牌監制兼導演，先后在香港ATV亞洲電視臺、TVB任監制和導演。已完成88年梁朝偉版《絕代雙驕》、《天涯明月刀》、《書劍恩仇錄》等制作。[2018/3/20]

第一個合約漏洞在processRefunds中，設計者根據refundProgress計數器進行循環退款，而如果有攻擊者此時在fallback中進行revert則會導致后面的人都無法進行退款，這個漏洞被人在鏈上證明但沒有進行攻擊利用。

第二個漏洞在claimProjectFunds中，require語句的totalBids變量應該是bidIndex，這個漏洞使得該判斷條件永遠失敗，導致無法執行后續的提款操作。最終，導致項目方11539ETH(價值約3400萬美元)被鎖定無法提取。

可見關注NFT合約風險，變得越來越緊迫。

NFT合約問題包括哪些？

根據NFTSCAN數據顯示，目前全球NFT項目已接近七萬個，而且數據還在持續增長中。

數據來源：NFTSCAN

NFT作為Web3.0的底座，它的安全問題對行業發展同樣重要，為了護航Web3.0的安全生態，成都鏈安通過智能合約形式化驗證工具鏈必驗對上千個NFT項目進行漏洞掃描，發現NFT常見的合約問題還包括以下幾類：

業務邏輯相關問題：

此類問題可能直接導致合約的業務邏輯出錯。

漏洞描述：chapterAuctionMinted的值永遠為初始值，但是在此處使用的判斷條件中，使用了該值進行條件檢查。如果在開發期間使用掃描后，開發者可根據掃描結果判斷是否是相關邏輯缺失，亦或是冗余代碼。

漏洞描述：未檢測返回值。在NFT項目中，經常存在有償鑄幣的功能，調用者需要將作為鑄幣手續費的ERC20代幣發送到NFT鑄幣合約中，然后NFT鑄幣合約為其鑄造對應數量的NFT代幣。但是部分ERC20合約存在假充值的問題，即轉賬失敗不拋出異常而是返回false，這樣就會導致一個問題，攻擊者可以利用這點，在未支付手續費的情況下，鑄造任意數量的NFT。開發者應根據VaaS掃描結果的建議，檢查transferFrom操作的返回值或者使用safeTransferFrom函數進行ERC20代幣轉賬。

代碼規范相關問題

此類問題可能不會直接造成業務邏輯出錯，但是會影響代碼的可讀性，造成合約調用時有多余的gas消耗等。同時不規范的代碼也容易導致編寫時邏輯混亂，有隱藏的邏輯錯誤的概率更高。

漏洞描述：此處循環的結束條件為curr>=0,而curr為uint導致curr>=0恒滿足。此處會導致循環無法正常結束。在掃描中會對這類結果為定值的條件進行告警，用戶可以通過提示確認此處邏輯，對條件進行刪除或修改。

漏洞描述：此處event中將string類型的數據標記了indexed，該寫法會導致在事件結果中無法直接獲得對應的string結果。建議用戶參考的提示，僅使用indexed修飾固定長度的變量。

研究發現，大多數的NFT合約都沒有進行過專業的安全審計，這就存在很大的安全隱患，容易導致攻擊事件的發生，造成資產的損失。所以NFT智能合約開發者應具備基本的安全開發意識，了解智能合約開發應注意的安全問題；此外，在合約設計和實現時，注意代碼實現的正確性。我們建議開發完成后，可使用對項目進行安全檢測。項目上線前，可選擇安全審計，規避安全風險。

安全，是區塊鏈技術能夠得以長足發展的重要保證，守護Web3.0的安全也變得愈發重要。今天我們所講的業務邏輯相關問題和代碼規范性相關問題，也是智能合約里面常見的問題類型?，后續我們將繼續推出NFT相關安全文章，請大家持續關注我們

Tags：NFTWEBWEB3WEB3.0INFTEEWEB4 AIWeb3游戲web3.0幣狗狗幣

Gate交易所