NFT安全

  • Spade_sec
  • 更新于 2024-05-08 14:56
  • 阅读 1250

过去曾发生过多起NFT的黑客攻击和漏洞利用事件,NFT用户需要意识到这些风险并采取措施保护他们的资产。本文涵盖了NFT的概念,NFT的运作原理,NFT生态系统中存在的漏洞,以及我们如何保护我们的NFT。

过去曾发生过多起NFT的黑客攻击和漏洞利用事件,NFT用户需要意识到这些风险并采取措施保护他们的资产。本文涵盖了NFT的概念,NFT的运作原理,NFT生态系统中存在的漏洞,以及我们如何保护我们的NFT。

什么是NFT

NFT是指非同质化代币(ERC721),是一种代表现实世界对象的数字资产,如艺术品、音乐、游戏道具和视频。我们将NFT存储在公开可访问的以太坊或其他任何区块链上。与其他ERC20代币相比,NFT无法等价交易或交换,因为这些代币是唯一的。

NFT生态系统的运作

NFT的所有权记录在区块链上,并可以由所有者转移,允许NFT进行销售和交易。整个生态系统首先由创作者发起。他们创作数字资产,如艺术品、图片、视频等。创作者将数字内容上传到托管服务,以便公开展示。当他们铸造或创建一个NFT时,他们执行存储在智能合约中的代码,符合不同的标准,如ERC-721。此信息被添加到区块链中,其中NFT正在被管理。

接着,卖家和买家将在NFT交易平台上拍卖和交易他们的NFT。买家签署交易后,平台将交易记录写入区块链,包括金额的转移和艺术品的所有权。 image.png

NFT安全问题:

  1. 智能合约漏洞: NFT的核心是智能合约,因此,它像其他智能合约一样容易受到恶意攻击,包括重入攻击、整数溢出、访问控制缺陷等。NFT智能合约可能存在的最常见漏洞是访问控制漏洞、重入攻击等。

  2. 市场漏洞: NFT市场的漏洞可能对NFT本身构成危险。甚至可能导致NFT被盗。曾经,OpenSea遭受了攻击,攻击者能够以旧价购买NFT。由于这个漏洞,几个用户能够以远低于代币市场价值的价格购买宝贵的NFT。

  3. 存储问题:如果NFT的元数据存储在离线状态下,如果离线网络出现问题,链接本身将无用,NFT将不再可用。集中式离线网络应用程序和存储系统仍然面临传统的DoS攻击风险,从而拒绝向NFT系统提供服务。

  4. 社交媒体黑客: 最近,攻击者正在瞄准这些NFT项目的社交媒体(Discord/Twitter)账户。攻击者通常使用钓鱼、社会工程学、机器人等技术来入侵这些账户。在攻击服务器后,他们可以欺骗用户将钱包连接到他们的恶意网站,从而窃取NFT。

  5. NFT欺诈和钓鱼: 通常,钓鱼是黑客获取您NFT账户信息的方法。他们经常使用电子邮件或知名社交媒体网站和论坛(如Twitter和Discord)来分发用于此目的的欺诈性URL。一旦您点击链接并提交信息,黑客就可以通过键盘记录或其他攻击软件接管您的账户并入侵它。

  6. 交易中的市场操纵: NFT市场可以通过多种方式被操纵。一些常见的市场操纵形式包括洗盘交易、抬高然后抛售计划、名人代言等。恶意行为者经常使用以上技术来提高NFT的价格,并为了利润而将其抛售。

  7. 私钥/助记词泄露: NFT所有权通过私钥管理,私钥是特定数字钱包中所有资产的哨兵。如果您的私钥泄露,任何拥有私钥访问权的人可能会从数字钱包中窃取您的NFT并将其出售。因此,将私钥存储在安全位置非常重要。

NFT黑客案例研究:

  1. Lympo:2022年1月10日,体育NFT铸造平台Lympo遭受了一次黑客攻击,导致失去了1652万个LMT代币,即在攻击发生时价值1870万美元。攻击的主要原因是热钱包的私钥泄露,这使得攻击者能够控制NFT并窃取它。

  2. Bored Ape Yacht Club:2022年4月,骗子从Bored Ape Yacht Club收藏的开发者那里窃取了代币。盗窃是通过入侵开发者的Instagram账户来实现的。在这次黑客攻击中,总共窃取了价值1370万美元的NFT。

  3. Open Sea NFT市场:2022年2月,NFT市场OpenSea的用户成为了钓鱼攻击的受害者。攻击者设法从被利用的用户那里窃取了1200个ETH,后来以170万美元的价格出售。

    用户如何保护他们的NFT安全?

image.png

  1. 尽职调查:在投资任何NFT项目之前,用户应进行自己的尽职调查。通常,尽职调查包括分析以下基本细节:

    • 项目创始人的个人资料和背景
    • 项目的社交媒体账户,如Twitter、Discord等
    • NFT的价格、供应和稀缺性
    • NFT的实用性
    • 检查项目是否已经接受审计
  1. 在声誉良好且安全的市场交易NFT:对于许多NFT交易者来说,安全性是一个重要考虑因素,尤其是鉴于已经发生过几起备受关注的平台黑客攻击事件。因此,尽量在声誉良好且安全的NFT市场进行交易。

  2. 永远不要盲目签署NFT交易:在确认交易之前,始终检查智能合约中的权限详情。许多黑客会将他们的行为伪装成智能合约的形式,从而使他们未经授权地访问您钱包中的资金。

  3. 只与官方渠道、Twitter账户和链接互动:始终限制您的Telegram、Discord和电子邮件接收来自陌生人和非官方地址的消息。首先使用该链接检查网站,这将告诉您该网站是否合法。

  4. 永远不要与任何人分享您的助记词或钱包私钥:如果您向任何人透露您的助记词或私钥,他们将能够访问您的数字资产。任何拥有您的私钥/助记词访问权限的人都可以窃取您所有的代币和NFT。

  5. 启用认证方法/2FA认证以防止社交账户被黑客攻击:有许多情况下,这些NFT项目的社交媒体账户,如Discord和Twitter,会被黑客攻击,黑客利用被攻破的账户谋取私利。

总结

如果您需要任何智能合约(包括但不限于NFT)审计服务,或者咨询服务,请联系我们,我们将提供专业且极具性价比的审计服务!

点赞 0
收藏 0
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

0 条评论

请先 登录 后评论
Spade_sec
Spade_sec
区块链安全团队,提供极具性价比的智能合约审计服务!可以加微信进交流群:You_know22