NFT 安全吗:回顾 CryptoPunks、Meebits 历史上的合约漏洞

随着日本开放 NFT 业务平台,韩国三大娱乐公司之一的 JYP 公司将目光转向 NFT 市场,NFT 越来越受普通人的关注。

试想日本动漫,韩流涌入到 NFT 市场,其爆发力和潜力该有多大?

但是 NFT 和任何其他 DeFi 一样,都是由易受攻击的智能合约组成,因此 NFT 的安全现在也备受关注。本片从以往的 NFT 出现的一些事故来阐述 NFT 智能合约的故事。

NFT 一个不太突出的方面是,它们是建立在智能合约之上的,而智能合约可以被利用、被破坏和被黑客攻击。与任何具有不完美智能合约的典型 DeFi 项目类似,NFT 智能合约也可能存在导致不利结果的漏洞。随着我们讨论历史和一些导致资金损失的不幸事故,我们将回顾人们在过去几年里利用 NFT 合约所做的事情。

CryptoPunks 可以说是迄今为止最受欢迎的 NFT 项目,在 2017 年推出后,其智能合约中出现了一个有影响的漏洞。当所有 1 万名 Punks 被卖出并进入二级市场后,发现了一个可能发生销售但未收到实际付款的错误。

报告:以太坊与最多负面推文相关,狗狗币最受喜爱:5月12日消息,TRG Datacenters的一份新报告分析了2021年1月至2022年1月期间的推文,涉及五种最流行的加密货币,以找出Twitter上最受欢迎的数字资产。

根据报告对BTC、ADA、DOGE、ETH和LTC的分析,ETH与29%的包含负面情绪的推文相关,位居首位。对以太坊的批评主要涉及其与其他第一层替代方案相比的速度,以及能源成本。其次是BTC(27%)、ADA(16%)、LTC(8%),DOGE(6%)。(Cointelegraph)[2022/5/12 3:09:58]

代码中的问题归结为一行——它没有经过足够的测试。@0xfoobar 后来在 Twitter 上发布了一个帖子,详细解释了这个 bug。

CryptoPunks 的创建者 LarvaLabs 最终以一份新的、更新的合约重新启动了该项目。V1 朋克是最初合约的一部分,直到 CryptoPunks V1 的 ERC-721 封装被发布,这也被称为「经典朋克」。

在推出 CryptoPunks 多年后,LarvaLabs 又推出了一个名为 Meebits 的后续项目。所有 Meebits 都带有随机特征。然而,在其启动时,一些用户想出了如何系统和重新滚动特征,以获得他们想要的特征。

DOGE投资者Glauber Contessoto恢复“狗狗币百万富翁”的身份:随着DOGE飙涨27%,33岁的DOGE投资者Glauber Contessoto在推特宣布自己重获“狗狗币百万富翁”的身份。8月8日,DOGE触及0.28美元,为6月25日以来的最高水平。DOGE现在比7月20日触及的近期底部上涨79.5%。然而,尽管Contessoto的财富恢复至百万美元,但谈论DOGE的回归还为时过早。Dogecoin仍相比0.73美元的历史高点下跌64%。与此同时,狗狗币持有者的“守护神”马斯克已经好几个星期没有发布DOGE相关推文。

据此前7月份报道,DOGE投资者和YouTuber Glauber Contessoto曾在网络和媒体上将自己宣传为“狗狗币百万富翁”,5月份DOGE达到0.74美元的历史峰值之后,Glauber Contessoto持有的加密货币价值超过200万美元。当DOGE从5月份的历史高点开始下跌时,他曾在一天内损失17万美元。Contessoto表示继续逢低买入狗狗币,并认为DOGE现在是他的储蓄账户。Contessoto辞去了日常工作,开始专注于自己作为“狗狗币百万富翁”的社交媒体形象,通过在他的网站上销售商品和在投资Doge中获得报酬来推广其他加密项目。(U.Today)[2021/8/8 1:42:04]

如何 ?Meebits 项目在智能合约中包含一个存档文件,显示每个 Meebit 代币 ID 的特征。用户可以启动 Meebit 的铸造,如果他们通过比较特征文件发现代币并不罕见,就可以取消它。一位用户充分利用了这一点,并在 Twitter 和 Discord 上公开记录了他的成功。这个用户是「0xNietzsche」。

0xNietzsche 发起了 300 多笔交易来测试这一漏洞。如果没有足够稀有的特征,他们发起铸造的每个 Meebit 都会被取消。经过 300 多次交易,他们终于能够偶然发现一个罕见的 Meebit。#16647。

「0xNietzsche」声称,他们每小时花了 2 万美元的 gas 费,等着铸造他们稀有的 Meebit,但他们仍然利用合约这样做。他们能够以 200 ETH 的价格出售新制作的 Meebit,当时价值约 75 万美元。

尽管如此,Meebits 是一个很好的例子,说明了如何利用智能合约,让一个或多个用户在创建 NFT 时获得竞争优势。

MoonCatRescue 于 2017 年推出,一开始他们的合约就有一个相当大的缺陷。

MoonCats 官方常见问题解答页面提出了一个问题:您是否为此获得报酬?

回复 :

不。我们打算从创世猫的销售中收集以太坊。然而,我们在 QA 过程中所做的修正却导致这些资金被永久封存。但这没关系。

当 MoonCat 被收养时,transferCat(catId, catOwners[catId], msg.sender, offer.price),资金被发送到 require(catOwners[catId] != 0x0。在测试中仔细检查它的话,其实是可以解决这个问题的。虽然这不是智能合约的主要缺陷,但在他们意识到这个错误之前,他们仍然失去了相当数量的 ETH。

2018 年 3 月,五位计算机科学家合作撰写了一篇题为《大规模发现贪婪、挥霍和自杀的合约》的论文,他们对此进行了研究 :

贪婪合约,无限期锁定资金

挥霍合约,将资金随意地泄露给任意用户

自杀合约,可以被任何人杀死

他们在以太坊网络上签订了近 100 万个 (970,898) 智能合约。他们发现,其中 34200 个智能合约容易受到黑客 / 利用,这意味着在 2018 年,大约每 20 个智能合约中就有 1 个面临风险。他们深入分析了 3759 份合约,以具体验证它们的代码中存在漏洞,发现 3686 份合约中的漏洞都在平均 10 秒内被发现。这太疯狂了!他们最多可以从合约中提出 4905 以太币——略高于 860 万美元。该报告还补充说,「此外,区块链目前有 6239 以太坊 (约 560 万美元) 被锁定在死后的合约中,其中 313 以太坊在「死」后被送到了死合约中。」有很多加密货币卡在失效的合约里。在进行这项研究时,DeFi 和其他智能合约占链上活动的比例要低得多。Glassnode 于 2021 年 5 月 6 日发布的一份最新报告发现,22.8% 的流通 ETH 被锁定在智能合约中。

现在仍然是每 20 个智能合约中就有 1 个容易受到攻击的情况吗?项目是否变得更安全了 ? 或者,随着智能合约对缺乏知识的人来说变得更容易发布,情况可能变得更糟了?即使我们保持 1 / 20 的比率,这将意味着大约 1% 的 ETH 供应处于脆弱的智能合约中。

这里的要点是,在开始一个项目之前要做调查。尽量不要 FOMO。确保你想要投资的项目花时间开发智能合约,确保这个项目不是凭空产生的。许多复制粘贴的代码存在于那里,这总是一个危险信号。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

AVAXETH 2.0 抽丝剥茧 升级后将带来哪些关键变化?

以太坊 2.0 是对以太坊网络的升级,它提高了网络的速度、效率和可扩展性,同时保持了安全性和去中心化。 升级对以太坊非常重要,而这将包括三个主要阶段: 阶段 0 — 在信标链上部署和抵押。 第一阶段——分片框架 第 2 阶段——信标链和主网之间的合并。 ETH 2.0 给网络带来的关键变化是: 分片——以太坊将被分成 18 个同时运行的“分片”。

FTX加密朋克:NFT领域的“比特币”

这段时间,在NFT的各个项目中,除了Axie Infinity,恐怕听到最多的就是和加密朋克(CryptoPunks)相关的新闻了。 尤其这两周,来自机构投资者疯狂买入加密朋克的新闻已经在海外掀起狂潮。 在NFT领域,恐怕很难有第二个项目的共识及认知能够比得上加密朋克了。

[0:0ms0-3:332ms