De NFT-sector heeft sinds de opkomst ervan verschillende problemen gekend, waardoor veel mensen zich zorgen maakten dat NFT's niet zo veilig zijn als eerder werd gedacht. Het probleem ligt echter niet bij de NFT's zelf.
NFT's zijn eigenlijk slimme contracten, en deze contracten zijn onderhevig aan kwetsbaarheden. In wezen zijn slimme contracten slechts code, en hoe complexer de code is, hoe meer ruimte er is voor fouten. Natuurlijk hebben ontwikkelaars de neiging hun code keer op keer uit te kammen op fouten en kwetsbaarheden, maar zelfs na uitgebreid zoeken kunnen er nog steeds een paar fouten achterblijven die later problemen kunnen veroorzaken, vooral als slechte actoren erin slagen deze te identificeren.
Daarom moeten er nog steeds beveiligingsaudits worden uitgevoerd, omdat de code van de slimme contracten meer aandacht vereist. Dan, en alleen dan, kunnen slimme contracten – en tot op zekere hoogte de NFT’s – adequaat worden beveiligd.
Laten we eens kijken naar enkele van de meest voorkomende, maar nog steeds behoorlijk gevaarlijke tekortkomingen die vaak voorkomen in slimme contracten:
Kwetsbaarheden bij de verkoop van NFT-tokens
De eerste mogelijkheid die slechte actoren hebben om de tekortkomingen van slimme contracten te gebruiken om een NFT-project te verstoren, is tijdens de verkoop van tokens. Een van de meest opvallende voorbeelden is de Adidas NFT-tokenverkoop.
Terwijl de verkoop aan de gang was, slaagde een aanvaller erin de limieten voor het maximaal gekochte tokens voor een portemonnee te omzeilen. Als gevolg hiervan slaagde de hacker erin 330 NFT's te scoren, waardoor Adidas' overigens succesvolle debuut NFT-collectie 'Into the Metaverse' permanent werd verstoord. Het enige dat de hacker hoefde te doen om dit te bereiken, was het verwijderen van de limiet die zei dat er slechts twee NFT’s per Ethereum-portemonnee kunnen worden gescoord.
Kwetsbaarheden op de marktplaats
De volgende fout heeft niet noodzakelijkerwijs betrekking op de NFT's zelf, maar op de marktplaatsen waar ze te vinden zijn. Een voorbeeld hiervan is OpenSea, de grootste NFT-marktplaats ter wereld. Nog niet zo lang geleden werd OpenSea getroffen door een aanval waarbij de overtredende partij erin slaagde munten tegen de oude prijs te kopen.
Door deze maas in de wet konden verschillende mensen waardevolle NFT's kopen tegen prijzen die aanzienlijk onder de marktwaarde van de tokens lagen. Het meest opvallende project dat hierdoor werd getroffen, was de Bored Ape Yacht Club, waarbij een van zijn NFT's (#9991) werd gekocht voor 0.77 ETH, waarna de aanvaller deze kon doorverkopen voor 84.2 ETH.
Blootgestelde privésleutels
Het derde probleem dat ik wil noemen, is niet specifiek voor NFT's. In feite is het een onderdeel van de crypto-industrie geweest sinds er een crypto-industrie bestond. Het draait om het veilig opslaan van privésleutels, die worden gebruikt voor toegang tot portemonnees en het uitvoeren van betalingen.
Hackers hebben veel methoden geïdentificeerd die kunnen worden gebruikt tegen ongeïnformeerde investeerders om hun privésleutels te stelen en toegang te krijgen tot hun munten en tokens. Een van de meest gebruikte methoden is phishing. Opnieuw denk ik aan OpenSea, omdat het onlangs een phishing-aanval heeft ondergaan, waarbij gebruikers dachten dat ze transacties naar het netwerk stuurden.
In plaats daarvan heeft een hacker hen misleid om de gegevens te ondertekenen met behulp van MetaMask, en met behulp van hun handtekening slaagde de aanvaller erin hun geld te stelen.
Re-entry-aanvallen
Een ander type aanval staat bekend als re-entrancy-aanval, en deze betreft de populairste NFT-standaard van OpenZeppelin. In wezen heeft OpenZeppelins populairste implementatie van de NFT-standaard een callback-functie.
In wezen is het een functie die bedoeld is om ontwikkelaars te helpen NFT's in projecten te integreren, maar het probleem is dat het ook kan worden misbruikt voor het uitvoeren van re-entrancy-aanvallen, op voorwaarde dat de code-ontwikkelaars onzorgvuldig genoeg waren om te vergeten er bescherming tegen te bieden. Een van de laatste voorbeelden van deze aanval vond plaats op 3 februari, toen een HypeBeast NFT-contract een aanvalstransactie rapporteerde.
Het project had een limiet voor het aantal NFT's dat een account kon maken, maar de aanvallers gebruikten de callback-functie om de mintNFT-functie opnieuw aan te roepen.
NFT-oplichting en tapijten
Er zijn hier genoeg voorbeelden van, zoals Cool Kittens, dat investeerders een elektronisch token met kattenkunst beloofde, een speciaal gebouwd token genaamd PURR, en lidmaatschap van een DAO. Allemaal nogal standaard beloftes die veel NFT-projecten hebben gedaan en nagekomen. Cool Kittens deed dat echter niet. Slechts drie weken na de aankondiging van de NFT-collectie begon het slaan en gingen de NFT's te koop. Het project explodeerde en er werden binnen enkele uren meer dan 2,200 NFT's verkocht voor een prijs van $ 70 per stuk.
De ontwikkelaars verzamelden $160,000 van een wereldwijd publiek van kopers in crypto, en verdwenen vervolgens eenvoudigweg met het geld. Dit is slechts één voorbeeld van iets dat vrij gebruikelijk is in de crypto-industrie, dus iedereen die deelneemt aan de verkoop van tokens van welke aard dan ook, moet dit in gedachten houden en uiterst voorzichtig zijn.
Conclusie
De NFT-sector biedt volop mogelijkheden voor tamelijk lonende investeringen, maar kan ook tegen beleggers worden gebruikt vanwege een aantal verschillende kwetsbaarheden. Dit is niet altijd het geval, omdat de fout soms kan liggen bij de marktplaats die ze verkoopt, bij investeerders die niet weten hoe ze zichzelf moeten beschermen, of zelfs bij de NFT-ontwikkelaars, die de gemeenschap willen oplichten en met hun geld willen verdwijnen. .
De enige manier om investeerders hiertegen te beschermen is dat projecten audits uitvoeren op hun slimme contracten, en dat marktplaatsen hun systemen regelmatig controleren op bugs en gebreken. Wat de beleggers zelf betreft, is het enige dat ze kunnen doen voorzichtigheid betrachten en zichzelf informeren over de bedreigingen waarmee ze te maken kunnen krijgen, en wat ze moeten doen als ze met een van deze of andere problemen worden geconfronteerd.
Krijg je dagelijkse samenvatting van Bitcoin, Defi, NFT en Web3 nieuws van CryptoSlate
Het is gratis en je kunt je op elk moment uitschrijven.
Gastpost door Gleb Zykov van HashEx
Gleb begon zijn carrière in softwareontwikkeling in een onderzoeksinstituut, waar hij een sterke technische en programmeerachtergrond opdeed, waarbij hij verschillende soorten robots ontwikkelde voor het Russische Ministerie van Noodsituaties.
Later bracht Gleb zijn technische expertise in bij het IT-servicebedrijf GTC-Soft, waar hij Android-applicaties ontwierp. Hij werd de hoofdontwikkelaar en daarna de CTO van het bedrijf. In GTC leidde Gleb de ontwikkeling van talrijke voertuigbewakingsdiensten en een Uber-achtige dienst voor premium taxi's. In 2017 werd Gleb een van de mede-oprichters van HashEx - een internationaal blockchain-audit- en adviesbureau. Gleb bekleedt de functie van Chief Technology Officer en leidt de ontwikkeling van blockchain-oplossingen en slimme contractaudits voor de klanten van het bedrijf.
→ Meer informatie
krijg een rand op de cryptomarkt?
Word lid van CryptoSlate Edge en krijg toegang tot onze exclusieve Discord-community, meer exclusieve inhoud en analyse.
Analyse op de keten
Prijsmomentopnamen
Meer context
Word nu lid voor $ 19/maand Ontdek alle voordelen
Bron: https://cryptoslate.com/top-5-nft-smart-contract-vulnerabilities-to-watch-out-for/