С момента своего появления в секторе NFT возникло несколько проблем, из-за которых многие люди были обеспокоены тем, что NFT не так безопасны, как считалось ранее. Однако проблема заключается не в самих NFT.
NFT на самом деле являются смарт-контрактами, и эти контракты подвержены уязвимостям. По своей сути смарт-контракты — это просто код, и чем сложнее код, тем больше места для ошибок. Конечно, разработчики склонны снова и снова прочесывать свой код на наличие ошибок и уязвимостей, но даже после тщательного поиска одна или две ошибки все еще могут остаться и вызвать проблемы в будущем, особенно если злоумышленникам удастся их идентифицировать.
Вот почему аудиты безопасности все же следует проводить, поскольку код смарт-контрактов требует большего внимания. Тогда и только тогда смарт-контракты — и в некоторой степени NFT — могут быть адекватно защищены.
Давайте рассмотрим некоторые из наиболее распространенных, но все же довольно опасных недостатков, которые обычно присутствуют в смарт-контрактах:
Уязвимости при продаже токенов NFT
Первая возможность, которую злоумышленники должны использовать недостатки смарт-контрактов, чтобы подорвать проект NFT, — это продажа токенов. Одним из наиболее ярких примеров является продажа токенов Adidas NFT.
Пока шла распродажа, злоумышленнику удалось обойти ограничение на максимальное количество приобретаемых токенов для кошелька. В результате хакеру удалось набрать 330 NFT, навсегда нарушив в остальном успешную дебютную коллекцию NFT Adidas «Into the Metaverse». Все, что хакеру нужно было сделать для этого, — это снять ограничение, согласно которому на один кошелек Ethereum можно набрать только два NFT.
Уязвимости торговой площадки
Следующий недостаток касается не только самих NFT, но и торговых площадок, на которых их можно найти. Одним из примеров этого является OpenSea, крупнейший рынок NFT в мире. Не так давно OpenSea подверглась атаке, в ходе которой злоумышленнику удалось купить монеты по старой цене.
Эта лазейка позволила нескольким людям купить ценные NFT по ценам значительно ниже рыночной стоимости токенов. Наиболее заметным проектом, на который это повлияло, был яхт-клуб Bored Ape, один из его NFT (№ 9991) был куплен за 0,77 ETH, но злоумышленник перепродал его за 84,2 ETH.
Открытые закрытые ключи
Третья проблема, о которой я хотел бы упомянуть, не является специфичной для NFT. Фактически, он был частью криптоиндустрии с тех пор, как появилась криптоиндустрия. Он вращается вокруг безопасного хранения закрытых ключей, которые используются для доступа к кошелькам и проведения платежей.
Хакеры выявили множество методов, которые можно использовать против неосведомленных инвесторов, чтобы украсть их закрытые ключи и получить доступ к их монетам и токенам. Одним из наиболее часто используемых методов является фишинг. И снова на ум приходит OpenSea, так как недавно он подвергся фишинговой атаке, когда пользователи думали, что отправляют транзакции в сеть.
Вместо этого хакер обманом заставил их подписать данные с помощью MetaMask, и с помощью их подписи злоумышленнику удалось украсть их средства.
Повторные атаки
Другой тип атаки известен как атака с повторным входом, и он относится к самому популярному стандарту NFT OpenZeppelin. По сути, самая популярная реализация стандарта NFT в OpenZeppelin имеет функцию обратного вызова.
По сути, это функция, призванная помочь разработчикам интегрировать NFT в проекты, но проблема в том, что ее также можно использовать для проведения атак с повторным входом, при условии, что разработчики кода были настолько неосторожны, что забыли обеспечить защиту от них. Один из последних примеров этой атаки произошел 3 февраля, когда контракт HypeBeast NFT сообщил о транзакции атаки.
В проекте было ограничение на количество NFT, которые может создать учетная запись, но злоумышленники использовали функцию обратного вызова, чтобы снова вызвать функцию mintNFT.
Мошенничество и коврики NFT
Примеров этому было множество, например, Cool Kittens, который обещал инвесторам электронный токен с изображением кошки, специально созданный токен под названием PURR и членство в DAO. Все довольно стандартные обещания, которые дали и выполнили многие проекты NFT. Cool Kittens, однако, этого не сделали. Всего через три недели после объявления о коллекции NFT началась чеканка, и NFT поступили в продажу. Проект взорвался, продав более 2200 NFT всего за несколько часов по цене 70 долларов за штуку.
Разработчики собрали $160 000 от глобальной аудитории покупателей крипты, а потом просто исчезли с деньгами. Это только один пример того, что довольно распространено в криптоиндустрии, поэтому любой, кто участвует в продаже токенов любого рода, должен помнить об этом и проявлять крайнюю осторожность.
Заключение
Сектор NFT предоставляет множество возможностей для довольно выгодных инвестиций, но его также можно использовать против инвесторов из-за ряда различных уязвимостей. Это не всегда так, так как иногда ошибка может заключаться в торговой площадке, которая их продает, инвесторах, которые не знают, как защитить себя, или даже в разработчиках NFT, которые хотят обмануть сообщество и исчезнуть со своими деньгами. .
Единственный способ защитить инвесторов от этого — проводить аудиты своих смарт-контрактов проектами, а маркетплейсы — регулярно проверять свои системы на наличие ошибок и недочетов. Что же касается самих инвесторов, то единственное, что они могут сделать, — это проявлять осторожность и работать над самообразованием в отношении угроз, с которыми они могут столкнуться, и того, что делать, если они все же столкнутся с какой-либо из этих или других проблем.
Источник