Top 5 ranjivosti NFT pametnih ugovora na koje treba obratiti pažnju

NFT sektor je vidio nekoliko problema otkako se pojavio, što je mnoge ljude zabrinulo da NFT nisu tako sigurni kao što se ranije mislilo. Međutim, problem ne leži u samim NFT-ovima.

NFT su zapravo pametni ugovori, a ti ugovori su podložni ranjivosti. U svojoj suštini, pametni ugovori su samo kod, a što je kod složeniji, to je više prostora da se greške pojave. Naravno, programeri su skloni da pročešljaju svoj kod u potrazi za greškama i ranjivostima iznova i iznova, ali čak i nakon opsežne pretrage — mana ili dvije i dalje mogu ostati i uzrokovati probleme na putu, posebno ako ih loši akteri uspiju identificirati.

Zbog toga bi i dalje trebalo provoditi sigurnosne revizije, jer kod pametnih ugovora zahtijeva veću pažnju. Tada, i samo tada, pametni ugovori — i donekle, NFT-ovi — mogu biti adekvatno osigurani.

Pogledajmo neke od najčešćih, ali još uvijek prilično opasnih nedostataka koji su obično prisutni u pametnim ugovorima:

Ranjivosti prodaje NFT tokena

Prva prilika koju loši akteri imaju da iskoriste nedostatke pametnih ugovora da poremete NFT projekat je tokom prodaje tokena. Jedan od najznačajnijih primjera je prodaja Adidas NFT tokena.

Kako je prodaja bila u toku, napadač je uspio zaobići ograničenja maksimalnog broja kupljenih tokena za novčanik. Kao rezultat toga, haker je uspio postići 330 NFT-ova, trajno poremeteći Adidasovu inače uspješnu debitantsku NFT kolekciju “Into the Metaverse”. Sve što je haker morao da uradi da bi to postigao je da ukloni ograničenje koje je govorilo da se po Ethereum novčaniku mogu postići samo dva NFT-a.

Ranjivosti tržišta

Sljedeća mana ne uključuje nužno same NFT, već tržišta na kojima se oni mogu naći. Jedan primjer za to je OpenSea, najveće NFT tržište na svijetu. Ne tako davno, OpenSea je pretrpio napad tokom kojeg je povrijeđena strana uspjela kupiti novčiće po staroj cijeni.

Ova rupa je omogućila nekoliko ljudi da kupe vrijedne NFT-ove po cijenama znatno ispod tržišne vrijednosti tokena. Najznačajniji projekat na koji je ovo uticalo je Bored Ape Yacht Club, sa jednim od njegovih NFT-ova (#9991) kupljenim za 0.77 ETH, da bi ga napadač preprodao za 84.2 ETH.

Izloženi privatni ključevi

Treći problem koji bih želeo da pomenem nije specifičan za NFT. Zapravo, dio je kripto industrije otkad postoji kripto industrija. Ona se vrti oko sigurnog skladištenja privatnih ključeva, koji se koriste za pristup novčanicima i obavljanje plaćanja.

Hakeri su identifikovali mnoge metode koje se mogu koristiti protiv neupućenih investitora da ukradu njihove privatne ključeve i pristupe njihovim novčićima i tokenima. Jedna od najčešće korištenih metoda je phishing. Ponovo mi pada na pamet OpenSea, koji je nedavno pretrpio phishing napad, gdje su korisnici mislili da šalju transakcije na mrežu.

Umjesto toga, haker ih je prevario da potpišu podatke koristeći MetaMask, a uz pomoć njihovog potpisa napadač je uspio ukrasti njihova sredstva.

Napadi ponovnog ulaska

Druga vrsta napada je poznata kao napad na ponovni ulazak, a ovaj se odnosi na OpenZeppelin najpopularniji NFT standard. U suštini, OpenZeppelin najpopularnija implementacija NFT standarda ima funkciju povratnog poziva.

U suštini, to je funkcija koja ima za cilj da pomogne programerima da integrišu NFT-ove u projekte, ali problem je u tome što se može zloupotrebiti i za provođenje napada ponovnim ulaskom, pod uslovom da su programeri koda bili dovoljno neoprezni da zaborave da obezbede zaštitu od njih. Jedan od najnovijih primjera ovog napada dogodio se 3. februara kada je HypeBeast NFT ugovor prijavio napadnu transakciju.

Projekat je imao ograničenje na to koliko NFT-ova račun može iskovati, ali su napadači koristili funkciju povratnog poziva da ponovo pozovu mintNFT funkciju.

NFT prevare i prostirke

Bilo je mnogo primjera za to, kao što je Cool Kittens, koji je investitorima obećao elektronski token sa umjetnošću mačaka, namjenski napravljen token pod nazivom PURR i članstvo u DAO-u. Sva prilično standardna obećanja koja su mnogi NFT projekti dali i ispunili. Cool Kittens, međutim, nije. Samo tri sedmice nakon objave NFT kolekcije, počelo je kovanje, a NFT-ovi su pušteni u prodaju. Projekat je eksplodirao, prodavši preko 2,200 NFT-a u samo nekoliko sati, po cijeni od 70 dolara po komadu.

Programeri su prikupili 160,000 dolara od globalne publike kupaca u kripto, a onda su jednostavno nestali s novcem. Ovo je samo jedan primjer nečega što je prilično uobičajeno u kripto industriji, tako da svi koji sudjeluju u prodaji tokena bilo koje vrste trebaju to imati na umu i biti krajnje oprezni.

zaključak

NFT sektor pruža obilje mogućnosti za prilično isplative investicije, ali se može koristiti i protiv investitora kroz niz različitih ranjivosti. Ovo nije uvijek slučaj, jer ponekad, mana može ležati na tržištu koje ih prodaje, investitorima koji ne znaju kako da se zaštite, ili čak u NFT programerima, koji žele prevariti zajednicu i nestati sa svojim novcem .

Jedini način da se investitori zaštite od ovoga je da projekti sprovode revizije svojih pametnih ugovora, a da tržišta redovno provjeravaju svoje sisteme na greške i nedostatke. Što se tiče samih investitora, jedino što mogu učiniti je biti oprezan i raditi na edukaciji o prijetnjama s kojima bi se mogli susresti i šta učiniti ako naiđu na bilo koji od ovih ili drugih problema.