بخش NFT از زمان ظهور خود شاهد مشکلات متعددی بوده است که بسیاری از مردم را نگران کرد که NFT ها آنقدر که قبلا تصور می شد ایمن نیستند. با این حال، مشکل در خود NFT ها نیست.
NFTها در واقع قراردادهای هوشمند هستند و این قراردادها در معرض آسیب پذیری هستند. در اصل، قراردادهای هوشمند فقط کد هستند و هر چه کد پیچیده تر باشد، فضای بیشتری برای نشان دادن خطاها وجود دارد. البته، توسعهدهندگان تمایل دارند کدهای خود را برای خطاها و آسیبپذیریها بارها و بارها بررسی کنند، اما حتی پس از جستجوی گسترده، یک یا دو نقص همچنان میتواند باقی بماند و مشکلاتی را در مسیر ایجاد کند، به خصوص اگر بازیگران بد موفق به شناسایی آنها شوند.
به همین دلیل است که بازرسی های امنیتی باید همچنان انجام شود، زیرا کد قراردادهای هوشمند نیاز به توجه بیشتری دارد. سپس، و تنها پس از آن می توان قراردادهای هوشمند - و تا حدی، NFT ها - به اندازه کافی ایمن شوند.
بیایید نگاهی به برخی از معایب رایجتر اما هنوز کاملاً خطرناک که در قراردادهای هوشمند وجود دارند بیندازیم:
آسیب پذیری های فروش توکن NFT
اولین فرصتی که بازیگران بد برای استفاده از معایب قراردادهای هوشمند برای ایجاد اختلال در پروژه NFT دارند، در هنگام فروش توکن است. یکی از نمونه های قابل توجه فروش توکن آدیداس NFT است.
همانطور که فروش در حال انجام بود، یک مهاجم موفق شد از محدودیت های حداکثر توکن های خریداری شده برای یک کیف پول عبور کند. در نتیجه، هکر موفق به کسب 330 NFT شد و برای همیشه اولین مجموعه موفق NFT آدیداس "Into the Metaverse" را مختل کرد. تنها کاری که هکر برای رسیدن به این هدف باید انجام میداد این است که محدودیتی را که میگفت تنها دو NFT میتوان به ازای هر کیف پول اتریوم امتیاز داد، حذف کرد.
آسیب پذیری های بازار
نقص بعدی لزوماً شامل خود NFT ها نیست، بلکه بازارهایی است که می توان آنها را پیدا کرد. یکی از نمونههای آن OpenSea، بزرگترین بازار NFT در جهان است. چندی پیش، OpenSea دچار حمله ای شد که طی آن طرف متخلف موفق شد سکه ها را به قیمت قدیمی خود بخرد.
این حفره به چندین نفر اجازه داد تا NFT های ارزشمند را با قیمت های قابل توجهی کمتر از ارزش بازار توکن ها خریداری کنند. برجستهترین پروژهای که تحت تأثیر این موضوع قرار گرفت، Bored Ape Yacht Club بود، با یکی از NFTهای آن (#9991) که به قیمت 0.77 ETH خریداری شد، تنها برای مهاجم که آن را به قیمت 84.2 ETH دوباره بفروشد.
کلیدهای خصوصی در معرض دید
مشکل سومی که می خواهم به آن اشاره کنم مختص NFT ها نیست. در واقع، از زمانی که صنعت کریپتو وجود داشته است، بخشی از صنعت کریپتو بوده است. حول ذخیره ایمن کلیدهای خصوصی می چرخد که برای دسترسی به کیف پول و انجام پرداخت ها استفاده می شود.
هکرها روشهای زیادی را شناسایی کردهاند که میتوانند بر علیه سرمایهگذاران ناآگاه برای سرقت کلیدهای خصوصی و دسترسی به سکهها و توکنهای آنها استفاده کنند. یکی از رایج ترین روش های مورد استفاده فیشینگ است. بار دیگر، OpenSea به ذهن خطور می کند، زیرا اخیراً مورد حمله فیشینگ قرار گرفته است، جایی که کاربران فکر می کردند که تراکنش هایی را به شبکه ارسال می کنند.
در عوض، یک هکر آنها را فریب داد تا داده ها را با استفاده از MetaMask امضا کنند و با کمک امضای آنها، مهاجم موفق به سرقت وجوه آنها شد.
حملات ورود مجدد
نوع دیگری از حمله به عنوان حمله با ورود مجدد شناخته می شود و این مورد به محبوب ترین استاندارد NFT OpenZeppelin مربوط می شود. اساساً، محبوبترین پیادهسازی استاندارد NFT در OpenZeppelin دارای عملکرد برگشت تماس است.
اساساً، این تابعی است که به توسعهدهندگان کمک میکند تا NFTها را در پروژهها ادغام کنند، اما مشکل اینجاست که میتوان از آن برای انجام حملات ورود مجدد نیز استفاده نادرست کرد، مشروط بر اینکه توسعهدهندگان کد آنقدر بیتوجه بودهاند که محافظت در برابر آنها را فراموش کنند. یکی از آخرین نمونه های این حمله در 3 فوریه زمانی اتفاق افتاد که یک قرارداد HypeBeast NFT یک تراکنش حمله را گزارش کرد.
این پروژه محدودیتی برای تعداد NFT هایی داشت که یک حساب می تواند برش دهد، اما مهاجمان از تابع callback برای فراخوانی مجدد تابع mintNFT استفاده کردند.
کلاهبرداری و فرش NFT
نمونههای زیادی از این مورد وجود داشته است، مانند Cool Kittens، که به سرمایهگذاران قول یک توکن الکترونیکی با هنر گربه، یک توکن هدفمند به نام PURR و عضویت در یک DAO را میداد. همه وعدههای نسبتاً استانداردی که پروژههای NFT زیادی دادهاند و به آنها عمل کردهاند. با این حال، کول کیتنز این کار را نکرد. تنها سه هفته پس از اعلام مجموعه NFT، ضرب شروع شد و NFT ها برای فروش عرضه شدند. این پروژه منفجر شد و بیش از 2,200 NFT را در عرض چند ساعت به قیمت 70 دلار به فروش رساند.
توسعه دهندگان 160,000 دلار از مخاطبان جهانی خریداران ارزهای دیجیتال جمع آوری کردند و سپس با پول ناپدید شدند. این تنها یک نمونه از چیزی است که در صنعت کریپتو متداول است، بنابراین هرکسی که در فروش توکن از هر نوعی شرکت می کند باید آن را در نظر داشته باشد و بسیار احتیاط کند.
نتیجه
بخش NFT فرصتهای زیادی را برای سرمایهگذاریهای نسبتاً سودمند فراهم میکند، اما میتوان از آن در برابر سرمایهگذاران از طریق تعدادی آسیبپذیری مختلف استفاده کرد. این همیشه صدق نمی کند، زیرا گاهی اوقات، ممکن است نقص مربوط به بازاری باشد که آنها را می فروشد، سرمایه گذارانی که نمی دانند چگونه از خود محافظت کنند، یا حتی توسعه دهندگان NFT که می خواهند از جامعه کلاهبرداری کنند و با پول خود ناپدید شوند. .
تنها راه محافظت از سرمایه گذاران در برابر این امر این است که پروژه ها قراردادهای هوشمند خود را ممیزی انجام دهند و بازارها به طور منظم سیستم های خود را از نظر اشکالات و نقص ها بررسی کنند. در مورد خود سرمایهگذاران، تنها کاری که میتوانند انجام دهند این است که احتیاط کنند و روی آموزش خود در مورد تهدیداتی که ممکن است با آنها مواجه شوند، کار کنند و در صورت مواجهه با هر یک از این مسائل یا مسائل دیگر چه کاری باید انجام دهند.
خلاصه روزانه خود را دریافت کنید بیت کوین, DEFI, NFT و Web3 اخبار از CryptoSlate
این رایگان است و هر زمان که بخواهید می توانید اشتراک خود را لغو کنید.
پست مهمان توسط گلب زیکوف از HashEx
گلب کار خود را در توسعه نرم افزار در یک موسسه تحقیقاتی آغاز کرد و در آنجا پیشینه فنی و برنامه نویسی قوی را به دست آورد و انواع مختلف ربات ها را برای وزارت موقعیت های اضطراری روسیه توسعه داد.
بعداً گلب تخصص فنی خود را به شرکت خدمات فناوری اطلاعات GTC-Soft آورد و در آنجا برنامه های اندرویدی را طراحی کرد. او به سمت توسعه دهنده اصلی و پس از آن مدیر ارشد فناوری شرکت حرکت کرد. در GTC، گلب توسعه بسیاری از خدمات نظارت بر وسایل نقلیه و خدمات مشابه Uber را برای تاکسیهای ممتاز رهبری کرد. در سال 2017 گلب یکی از بنیانگذاران HashEx - یک شرکت بین المللی حسابرسی و مشاوره بلاک چین شد. گلب سمت مدیر ارشد فناوری را بر عهده دارد و پیشتاز توسعه راه حل های بلاک چین و ممیزی قراردادهای هوشمند برای مشتریان شرکت است.
→ بیشتر بدانید
یک لبه در بازار کریپتو؟
عضو CryptoSlate Edge شوید و به انجمن انحصاری Discord ما، محتوا و تجزیه و تحلیل انحصاری تر دسترسی پیدا کنید.
تجزیه و تحلیل زنجیره ای
عکسهای فوری
زمینه بیشتر
با 19 دلار در ماه اکنون به ما بپیوندید همه مزایا را کاوش کنید
منبع: https://cryptoslate.com/top-5-nft-smart-contract-vulnerabilities-to-watch-out-for/