Top 5 NFT ranjivosti pametnih ugovora na koje treba pripaziti

Sektor NFT-a vidio je nekoliko problema otkako se pojavio, što je mnoge ljude zabrinulo da NFT-ovi nisu sigurni kao što se prije mislilo. Međutim, problem ne leži u samim NFT-ovima.

NFT-ovi su zapravo pametni ugovori, a ti ugovori podložni su ranjivostima. U svojoj biti, pametni ugovori su samo kod, a što je kod složeniji, to je više prostora za pojavljivanje pogrešaka. Naravno, programeri su skloni pročešljati svoj kod u potrazi za pogreškama i ranjivostima iznova i iznova, ali čak i nakon opsežnog pretraživanja - nedostatak ili dvije i dalje mogu ostati i uzrokovati probleme na putu, pogotovo ako ih loši akteri uspiju identificirati.

Zbog toga bi se sigurnosne revizije ipak trebale provoditi, jer kod pametnih ugovora zahtijeva veću pažnju. Tada, i samo tada, pametni ugovori - i donekle, NFT-ovi - mogu biti adekvatno osigurani.

Pogledajmo neke od najčešćih, ali još uvijek prilično opasnih nedostataka koji su obično prisutni u pametnim ugovorima:

Ranjivosti prodaje NFT tokena

Prva prilika koju loši akteri imaju iskoristiti nedostatke pametnih ugovora kako bi poremetili NFT projekt je tijekom prodaje tokena. Jedan od najznačajnijih primjera je prodaja Adidas NFT tokena.

Kako je prodaja bila u tijeku, napadač je uspio zaobići ograničenja maksimalnog broja kupljenih tokena za novčanik. Kao rezultat toga, haker je uspio postići 330 NFT-ova, trajno poremetivši Adidasovu inače uspješnu debitantsku NFT kolekciju “Into the Metaverse”. Sve što je haker trebao učiniti da bi to postigao jest ukloniti ograničenje koje je govorilo da se po Ethereum novčaniku mogu postići samo dva NFT-a.

Ranjivosti tržišta

Sljedeća mana ne uključuje nužno same NFT-ove, već tržišta na kojima se mogu pronaći. Jedan primjer za to je OpenSea, najveće NFT tržište na svijetu. Ne tako davno, OpenSea je doživio napad tijekom kojeg je prekršitelj uspio kupiti kovanice po staroj cijeni.

Ova rupa je omogućila nekoliko ljudi da kupe vrijedne NFT-ove po cijenama znatno ispod tržišne vrijednosti tokena. Najznačajniji projekt na koji je to utjecalo bio je Bored Ape Yacht Club, s jednim od njegovih NFT-ova (#9991) kupljenim za 0.77 ETH, da bi ga napadač preprodao za 84.2 ETH.

Izloženi privatni ključevi

Treći problem koji bih želio spomenuti nije specifičan za NFT. Zapravo, dio je kripto industrije otkad postoji kripto industrija. Okreće se oko sigurnog pohranjivanja privatnih ključeva koji se koriste za pristup novčanicima i obavljanje plaćanja.

Hakeri su identificirali mnoge metode koje se mogu koristiti protiv neupućenih ulagača za krađu njihovih privatnih ključeva i pristup njihovim kovanicama i tokenima. Jedna od najčešće korištenih metoda je phishing. Opet mi pada na pamet OpenSea, koji je nedavno pretrpio phishing napad, gdje su korisnici mislili da šalju transakcije na mrežu.

Umjesto toga, haker ih je prevario da potpišu podatke koristeći MetaMask, a uz pomoć njihova potpisa napadač im je uspio ukrasti sredstva.

Napadi ponovnog ulaska

Druga vrsta napada poznata je kao napad na ponovni ulazak, a ovaj se odnosi na OpenZeppelin najpopularniji NFT standard. U suštini, OpenZeppelin najpopularnija implementacija NFT standarda ima funkciju povratnog poziva.

U suštini, to je funkcija koja ima za cilj pomoći programerima da integriraju NFT-ove u projekte, ali problem je u tome što se također može zloupotrijebiti za provođenje napada ponovnim ulaskom, pod uvjetom da su programeri koda bili dovoljno neoprezni da zaborave osigurati zaštitu od njih. Jedan od najnovijih primjera ovog napada dogodio se 3. veljače kada je HypeBeast NFT ugovor prijavio napadnu transakciju.

Projekt je imao ograničenje koliko NFT-ova račun može iskovati, ali su napadači upotrijebili funkciju povratnog poziva kako bi ponovno pozvali funkciju mintNFT.

NFT prijevare i prostirke

Bilo je mnogo primjera za to, kao što su Cool Kittens, koji je investitorima obećao elektronički token s umjetnošću mačaka, namjenski napravljen token pod nazivom PURR i članstvo u DAO-u. Sva prilično standardna obećanja koja su mnogi NFT projekti dali i ispunili. Cool Kittens, međutim, nije. Samo tri tjedna nakon objave NFT kolekcije počelo je kovanje, a NFT-ovi su pušteni u prodaju. Projekt je eksplodirao, prodavši više od 2,200 NFT-ova u samo nekoliko sati, po cijeni od 70 dolara po komadu.

Programeri su prikupili 160,000 dolara od globalne publike kupaca u kripto, a onda su jednostavno nestali s novcem. Ovo je samo jedan primjer nečega što je prilično uobičajeno u kripto industriji, pa bi svatko tko sudjeluje u prodaji tokena bilo koje vrste trebao to imati na umu i biti krajnji oprezan.

Zaključak

Sektor NFT-a pruža obilje prilika za prilično isplativa ulaganja, ali se također može koristiti protiv investitora kroz niz različitih ranjivosti. To nije uvijek slučaj, jer ponekad, mana može biti na tržištu koje ih prodaje, investitorima koji se ne znaju zaštititi, ili čak u NFT programerima, koji žele prevariti zajednicu i nestati sa svojim novcem .

Jedini način zaštite investitora od toga je da projekti provode revizije svojih pametnih ugovora, a da tržišta redovito provjeravaju svoje sustave na greške i nedostatke. Što se tiče samih investitora, jedino što mogu učiniti je biti oprezan i raditi na edukaciji o prijetnjama s kojima bi se mogli susresti i što učiniti ako naiđu na bilo koji od ovih ili drugih problema.