需要警惕的 5 個 NFT 智能合約漏洞

NFT 產業自出現以來就出現了一些問題，這讓許多人擔心 NFT 並不像之前想像的那麼安全。 然而，問題並不在於 NFT 本身。

NFT 實際上是智能合約，這些合約有漏洞。 從本質上講，智能合約只是程式碼，程式碼越複雜，出現錯誤的空間就越大。 當然，開發人員傾向於一次又一次地梳理程式碼中的錯誤和漏洞，但即使經過廣泛的搜索，一兩個缺陷仍然可能存在，並在以後引起問題，特別是如果不良行為者設法識別它們的話。

這就是為什麼仍然應該進行安全審計，因為智能合約的程式碼需要更多的關注。 然後，也只有這樣，智能合約——以及在某種程度上，NFT——才能得到充分的保護。

讓我們來看看智能合約中往往存在的一些更常見但仍然相當危險的缺陷：

NFT 代幣銷售漏洞

不良行為者利用智能合約的缺陷來破壞 NFT 專案的第一個機會是在代幣銷售期間。 最引人注目的例子之一是阿迪達斯 NFT 代幣銷售。

在銷售過程中，攻擊者設法繞過了錢包最大購買代幣的限制。 結果，駭客成功獲得了 330 個 NFT，永久擾亂了阿迪達斯原本成功的首個 NFT 系列「Into the Metaverse」。 要實現這一目標，駭客所要做的就是取消每個以太坊錢包只能獲得兩個 NFT 的限制。

市場漏洞

下一個缺陷不一定涉及 NFT 本身，而是涉及它們的市場。 OpenSea 就是一個例子，它是世界上最大的 NFT 市場。 不久前，OpenSea 遭受了一次攻擊，攻擊方設法以舊價格購買了代幣。

這個漏洞使得一些人能夠以明顯低於代幣市場價值的價格購買有價值的 NFT。 受此影響最顯著的項目是 Bored Ape Yacht Club，其一個 NFT（#9991）以 0.77 ETH 的價格購買，但攻擊者以 84.2 ETH 的價格轉售。

暴露的私鑰

我想提到的第三個問題並不是 NFT 特有的。 事實上，自從有加密產業以來，它就一直是加密產業的一部分。 它圍繞著私鑰的安全存儲，用於存取錢包和進行支付。

駭客已經發現了許多可以用來對付不知情的投資者的方法，以竊取他們的私鑰並存取他們的硬幣和代幣。 最常用的方法之一是網路釣魚。 我再次想到了 OpenSea，因為它最近遭受了網路釣魚攻擊，用戶認為他們正在向網路發送交易。

相反，駭客誘騙他們使用 MetaMask 對資料進行簽名，並在簽名的幫助下，攻擊者成功竊取了他們的資金。

重入攻擊

另一種類型的攻擊稱為重入攻擊，這種攻擊涉及 OpenZeppelin 最受歡迎的 NFT 標準。 本質上，OpenZeppelin 最受歡迎的 NFT 標準實作有一個回呼函數。

從本質上講，它是一個旨在幫助開發人員將NFT 整合到專案中的功能，但問題是，如果程式碼開發人員粗心，忘記提供針對這些攻擊的保護，它也可能被濫用來進行重入攻擊。 這次攻擊的最新例子之一發生在 3 月 XNUMX 日，當時 HypeBeast NFT 合約報告了一筆攻擊交易。

該項目對一個帳戶可以鑄造的 NFT 數量進行了限制，但攻擊者使用回調函數再次呼叫 mintNFT 函數。

NFT 騙局和地毯

這方面的例子很多，例如 Cool Kittens，它向投資者承諾帶有貓藝術的電子代幣、名為 PURR 的專用代幣以及 DAO 會員資格。 許多 NFT 項目已經做出並兌現了所有相當標準的承諾。 然而，酷貓卻沒有。 宣布 NFT 系列發布僅三週後，鑄造工作就開始了，NFT 也開始出售。 該項目一炮而紅，在短短幾個小時內售出了 2,200 多個 NFT，每張售價 70 美元。

開發商從全球加密貨幣買家那裡籌集了 160,000 萬美元，然後他們就帶著錢消失了。 這只是加密貨幣行業中相當常見的一個例子，因此任何參與任何類型代幣銷售的人都應該牢記這一點並極其謹慎。

結論

NFT 領域為相當有價值的投資提供了大量機會，但它也可以透過許多不同的漏洞來針對投資者。 情況並非總是如此，因為有時，缺陷可能在於出售它們的市場、不知道如何保護自己的投資者，甚至在於 NFT 開發者，他們希望欺騙社區並帶著他們的錢消失。 。

保護投資者免受這種情況影響的唯一方法是專案對其智能合約進行審計，並且市場定期檢查其係統是否存在錯誤和缺陷。 對投資人本身來說，他們唯一能做的就是謹慎行事，並努力教育自己可能遇到的威脅，以及如果遇到這些或其他問題該怎麼辦。