需要注意的 5 个 NFT 智能合约漏洞

自 NFT 出现以来，NFT 领域出现了一些问题，这让很多人担心 NFT 不像以前想象的那么安全。 然而，问题并不在于 NFT 本身。

NFT 实际上是智能合约，这些合约存在漏洞。 本质上，智能合约只是代码，代码越复杂，错误出现的空间就越大。 当然，开发人员倾向于一次又一次地梳理他们的代码中的错误和漏洞，但即使经过广泛的搜索——仍然可能存在一两个缺陷并在未来引发问题，尤其是当不良行为者设法识别它们时。

这就是为什么仍然应该进行安全审计的原因，因为智能合约的代码需要更多的关注。 然后，也只有这样，智能合约——在某种程度上，NFT——才能得到充分保护。

让我们看一下智能合约中往往存在的一些更常见但仍然相当危险的缺陷：

NFT 代币销售漏洞

不良行为者必须利用智能合约的缺陷来破坏 NFT 项目的第一个机会是在代币销售期间。 最著名的例子之一是 Adidas NFT 代币销售。

随着销售的进行，攻击者设法绕过了钱包最大购买代币的限制。 结果，黑客设法获得了 330 个 NFT，永久破坏了阿迪达斯原本成功的首个 NFT 系列“进入元界”。 为了实现这一点，黑客所要做的就是取消每个以太坊钱包只能获得两个 NFT 的限制。

市场漏洞

下一个缺陷不一定涉及 NFT 本身，而是可以找到它们的市场。 这方面的一个例子是 OpenSea，它是世界上最大的 NFT 市场。 不久前，OpenSea 遭受了一次攻击，攻击方设法以旧价格购买了硬币。

这个漏洞允许几个人以远低于代币市场价值的价格购买有价值的 NFT。 受此影响的最值得注意的项目是 Bored Ape Yacht Club，其中一个 NFT (#9991) 以 0.77 ETH 的价格购买，攻击者仅以 84.2 ETH 的价格转售。

公开的私钥

我想提到的第三个问题并不是 NFT 特有的。 事实上，自从有加密行业以来，它就一直是加密行业的一部分。 它围绕着用于访问钱包和进行支付的私钥的安全存储展开。

黑客已经确定了许多可以用来对付不知情的投资者的方法，以窃取他们的私钥并访问他们的硬币和代币。 最常用的方法之一是网络钓鱼。 再次想到 OpenSea，因为它最近遭受了网络钓鱼攻击，用户认为他们正在向网络发送交易。

相反，一名黑客欺骗他们使用 MetaMask 对数据进行签名，并在他们的签名的帮助下，攻击者设法窃取了他们的资金。

重入攻击

另一种类型的攻击称为重入攻击，这种攻击涉及 OpenZeppelin 最流行的 NFT 标准。 本质上，OpenZeppelin 最流行的 NFT 标准实现有一个回调函数。

从本质上讲，它是一个旨在帮助开发人员将 NFT 集成到项目中的功能，但问题是它也可能被滥用于进行重入攻击，前提是代码开发人员粗心大意而忘记提供针对它们的保护。 这种攻击的最新例子之一发生在 3 月 XNUMX 日，当时 HypeBeast NFT 合约报告了攻击交易。

该项目对一个帐户可以铸造的 NFT 数量有限制，但攻击者使用回调函数再次调用 mintNFT 函数。

NFT 骗局和地毯

有很多这样的例子，比如 Cool Kittens，它向投资者承诺一个带有猫艺术的电子代币，一个名为 PURR 的专用代币，以及 DAO 的成员资格。 许多 NFT 项目已经做出并兑现了所有相当标准的承诺。 然而，酷小猫没有。 在宣布 NFT 收藏后仅三周，铸造就开始了，NFT 开始出售。 该项目爆炸式增长，仅在几个小时内就以 2,200 美元的价格售出了 70 多个 NFT。

开发人员从全球加密货币买家那里收集了 160,000 美元，然后他们就随钱消失了。 这只是加密行业中相当普遍的事情的一个例子，因此任何参与任何形式的代币销售的人都应该牢记这一点并格外小心。

结论

NFT 部门为相当有回报的投资提供了大量机会，但它也可以通过许多不同的漏洞被用来对付投资者。 情况并非总是如此，因为有时，缺陷可能在于出售它们的市场、不知道如何保护自己的投资者，甚至是希望欺骗社区并带着钱消失的 NFT 开发者.

保护投资者免受此影响的唯一方法是让项目对其智能合约进行审计，并让市场定期检查其系统是否存在错误和缺陷。 至于投资者自己，他们唯一能做的就是谨慎行事，并努力对自己可能遇到的威胁进行自我教育，以及如果他们确实遇到任何这些或其他问题该怎么办。