宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 酷币 > 正文

安全可靠的NFT项目 你知道都是如何审计的吗?

作者:

时间:1900/1/1 0:00:00

NFT项目审计概览

NFT是英语“Non Fungible Token”的简称,翻译过来即非同质化通证。一个NFT可以被理解为是存储在区块链上的一个独一无二的单元数据。每当谈及NFT通证,我们会很自然地将其与常见的ERC-20通证进行类比。但NFT通证与ERC-20通证是有区别的,两者的区别在于任何两个NFT通证都互不相同,不可互换,即不同质。因此,与NFT相关的操作(比如交易等)与ERC-20通证及其它类同质数字资产(如比特币、以太坊)的操作相比有着明显的区别。

近年来,以NFT为核心成长出了一个全新的生态,这个生态在2021年发展尤为迅猛。但是在生态快速发展的同时,生态中的安全问题却频繁显现。当业界审视这些安全问题时往往将其与ERC-20通证生态中的安全问题进行类比,但是NFT领域中出现的安全问题却有自己的特点和差异。然而这些特点和差异却还没有系统地受到业界的关注和研究。

关于NFT生态中的安全问题在学术界已经有学者进行了大胆地探索和研究,比如D. Das、P. Bose、N. Ruaro、C. Kruegel和G. Vigna合著的论文。然而在实践和具体执行过程中,对NFT安全问题该采用什么方式检视,什么流程审查,什么措施进行防范以及从哪些角度进行防范则缺乏深入的探讨和研究。

Fairyproof研究团队根据自身积累的专业知识和审计NFT项目中积累的实践经验,总结了一套系统、全面的方案,在此欲与业界和关注此领域发展的同仁进行探讨和交流。

如果一个项目、应用或服务和NFT交互,则我们视其为NFT项目、NFT应用或NFT服务。如果一个应用或服务和NFT交互,我们则视这个应用或服务是整个NFT生态中的一员。所有这些应用和服务一起就组成了现在我们见到的NFT生态系统。

在这个生态系统中,根据其中每个成员在技术上扮演的角色,我们将其分为四类:NFT通证部署的区块链、NFT通证的实现合约、实现商业逻辑及流程的核心应用、辅助NFT工作的应用或服务。

《云南省“十四五”新型基础设施建设规划》发展安全可扩展的区块链基础设施:金色财经消息,云南省发布《云南省“十四五”新型基础设施建设规划》,规划中提到准确把握新型基础设施技术前瞻性强、升级迭代快的特点,重点推进5G、工业互联网、物联网、人工智能、区块链等应用,以创新引领全省新型基础设施建设。

建成人工智能、区块链等一批新技术应用基础设施,数字技术创新活力得到充分释放。发展安全可扩展的区块链基础设施,依托已建区块链网络,进一步扩充区块链网络节点,持续完善云南区块链基础网络。加快建设安全可扩展的区块链开发部署、测试认证等公共服务能力,促进区块链应用快速上线、降低开发运营成本。推广云南区块链平台,推动更多行业应用快速开发与上线。持续推进“孔雀码”在更多商品领域推广应用。(云南省人民政府)[2022/5/10 3:04:47]

对于NFT项目的审计,这四类成员都需要关注和审视。如果NFT部署的区块链不能正常工作,项目就失去了根本;如果NFT通证的实现合约有问题,那NFT就无法正常工作,项目就失去了内核;如果项目的商业逻辑和流程设计有问题,那项目就只剩下毫无生命力的NFT通证;如果辅助NFT工作的应用或服务不能正常工作或者项目没有选择合适的辅助应用或服务,则NFT就无法将其潜力充分发挥。

因此这四者的安全和审计缺一不可,都不能忽视。在本文接下来的篇章,我们将对这四者的安全及审计分别展开论述。

对区块链的审计

对于NFT项目所部署的区块链,如果它是一条比较成熟的区块链(比如以太坊),则通常情况下,无需再对其进行审计,这一步可以跳过。因为成熟的区块链已经在经年累月的发展和成长中,历经各种安全事故的挑战和磨练,在安全上已经有了较为可靠的保障和信用。如果其部署的区块链是新生的,则理论上对区块链的审计是不能忽略的。

江苏:2023年形成3-4个自主安全可控的区块链底层平台:1月5日消息,江苏省工信厅、发改委、网信办等八部门于 1 月 4 日联合发布《江苏省数字经济加速行动实施方案》。在区块链方面,《方案》指出将积极部署支撑有力的创新基础设施,加快构建区块链平台体系,建设一批自主安全可控的区块链底层平台、行业联盟链、基于区块链技术的公共服务平台,推进区块链 BaaS 平台部署。到 2023 年,形成 3-4 个自主安全可控的区块链底层平台,在区块链等领域实施一批关键技术攻关项目。大力发展区块链等新兴产业,到 2023 年,全省大数据、区块链核心业务收入年均增速达到 15% 以上,实施江苏省区块链应用推广行动计划,形成区块链典型应用示范案例不少于 100 个。[2022/1/5 8:26:23]

对区块链的审计在业界已经相对成熟。此类审计的方式、方法、流程及重点和难点已经是包括Fairyproof在内的区块链安全公司比较熟练的业务和领域。对业界和安全公司来说,这类审计并不陌生。

对NFT实现合约的审计

NFT通证的实现,从技术上来讲和常见的ERC-20通证类似,都是由一个或多个智能合约组成。但是,由于NFT实现所基于的通证标准(比如ERC-721和ERC-1155)和ERC-20同质通证不同,因此NFT通证中可能出现的问题也与ERC-20通证略有不同。这其中一个典型的问题就是NFT的发行功能在实现时是否使用了合适的随机数。如果使用的随机数不合适,则NFT在发行时可能遭遇“回滚”攻击,即用户可以通过不断回滚交易,直到获取自己偏好的NFT。因此对NFT实现合约的审计也和对ERC-20合约的审计略有不同,其主要表现在关注点、重点和难点有所不同。

对此,Fairyproof在实践中系统地总结了经验,并开发一套自动化的审计工具,能够快速定位NFT合约中的风险点,排除潜在风险。

证券日报:区块链技术将使数字底座安全可信:11月2日消息,《证券日报》刊发文章《数字化转型浪潮滚滚,区块链造就可信“数字经济底座”》,文章指出:多位业内人士认为,以区块链、隐私计算为代表的技术正在为人类协作建立信任基础、确保数据安全有序流动提供了“革命性”的工具,这些技术形成的产业本身也是可信经济的重要组成部分。伴随相关标准化的推进,这些技术还将形成更大合力,助力可信经济释放更大价值。

宝新金融首席经济学家郑磊在接受《证券日报》记者采访时表示:“可信数字底座属于数字经济基础设施的概念范畴,它包含基础设施与公共服务数字化(包括数字化政务)。未来的发展主力是政府和国有企业,这是城市数字化的基础,政府可以通过政务数字化,打造强健完善的数字基础设施(如可信互联网,区块链主要节点、5G基站、数据中心等),提升公共服务数字化水平,制订相关法规、标准,制订发展和扶持政策等,有效降低商业企业的数字化转型成本,提供更多商业机会和应用场景,加快城市数字化的建设进程。”[2021/11/2 21:18:43]

对核心商业逻辑应用的审计

这里我们所指的核心商业逻辑应用主要是指在一个NFT项目中,实现商业逻辑的部分。这部分应用会和各类NFT通证交互。

在一个NFT项目中实现商业逻辑的应用通常可分为两类:

一类是典型的互联网2.0应用。它在项目中和NFT的交互及实现的商业逻辑比较简单,通常只涉及一些简单的NFT操作,比如NFT的发行、NFT的转账等。近年极为流行的“PFP”项目就属于这类。

另一类是包含了互联网2.0应用和区块链智能合约的综合应用。这类综合应用包含的NFT操作要复杂得多,除了简单的NFT发行和转账,还有NFT通证的管理、NFT通证的抵押等。现在NFT生态中最大的应用比如交易平台就是这类。

尽管这两类应用在复杂程度上有区别,但它们和基于ERC-20通证的应用相比都展现出一些特有的共性,这些共性也是NFT应用的共性。

建行行长刘桂平:区块链等金融科技使金融服务更加安全可靠:10月21日消息, 中国建设银行行长刘桂平在2020金融街论坛年会上表示,金融科技使金融服务更加安全可靠,更加普惠公平。他表示,充分运用大数据技术将数据资产作为关键生产要素,提供多维信息,实现客户精准画像,分维定位,分类管理,全程监控,保障银行经营安全;采用区块链技术实现数据信息可信、可追溯、不可篡改、保障客户隐私、兼顾流程、公正透明和客户信息安全。(新浪财经)[2020/10/21]

这些共性主要表现在:首先NFT应用涉及的链上操作不如ERC-20通证应用(比如DeFi应用)涉及的链上操作复杂;其次很多NFT应用面向的用户是非技术类人士,这些用户有些甚至没有区块链方面的知识,也不了解基于区块链的数字货币。

因此为了让大量非专业领域的用户在无需具备区块链或数字货币知识的情况下毫无障碍地使用和参与NFT项目,很多开发团队会花费大量的精力和资源来设计和优化用户界面,使之更符合用户已经在互联网2.0应用中建立起来的习惯。这便自然而然地使一些项目在设计和开发的过程中大量沿袭使用互联网2.0应用的技术和流程。一方面,这降低了用户的使用门槛,更便于新用户进入NFT领域;但另一方面,这也使得这些NFT应用有过于中心化的倾向。这种过于中心化的倾向不仅存在于应用的技术实现上,也存在于商业逻辑和流程中。

这里我们想特别强调的是:在现有NFT应用中涉及到商业逻辑和流程的部分可能会存在什么问题、是否有某些未知的隐患等还没有引起业界尤其是安全领域从业者的足够关注和研究。比如在目前诸多流行的NFT交易平台中,KYC还并未被强制要求,更谈不上坚决执行,在这种情况下如何防范安全事故及对黑客身份的追踪、定位;再如对NFT项目“真伪”的验证在大多数交易平台上还只是可选项而非必须执行项,在这种情况下如何防止用户误入假冒项目;还有对于NFT原创团队在设定及收取交易分红(royalty)方面目前各类平台所采用的流程和方式是否存在安全上的漏洞和隐患以及是否存在欺诈和不公?......

声音 | 央行科技司司长:金融科技必须走安全可控、正本清源之路:央行科技司司长李伟表示:“部分机构打着金融科技的幌子,走非法集资、庞氏局等歪门邪路,借金融科技之名行坑蒙拐之实,严重侵害人民群众的利益,是坚决不允许的。”他强调,金融科技必须要守住不发生系统性金融风险的底线,走安全可控、正本清源之路。[2018/7/7]

对上述问题的展开和研究目前都鲜有看到业界提及,更遑论进行深入的探讨。

对此Fairyproof一直在进行跟踪研究和探索,并在这些方面积累和总结了经验,并研发了一套综合性的框架和系统,能给NFT领域的从业者提出建设性的意见及切实可行的方案。

对辅助服务或应用的审计

这里所提到的辅助服务或应用是指有助于NFT充分发挥其功能或特色的服务或应用。典型的如为NFT存储元数据(metadata)的服务或应用.?

兴起于2021年的PFP项目就利用了辅助服务或应用。这类典型的NFT项目往往是发行一定恒定数量的NFT,每个NFT都有一个独一无二的图片,每个图片包含各种特征的组合。对每个NFT来说,这个图片就是它的元数据。

这些图片往往为了吸引用户买入和持有都经过精心的设计而独具特色,因此图片的保存和显示对这类NFT项目来说就显得非常重要。很多项目在设计时都考虑了使用各种方案使图片能够尽量永久保存。因此什么样的服务或应用能够提供可靠、稳妥的永久存储就是这些项目方关注的重点。

目前在业界常见的存储方案主要有去中心化的存储应用和中心化的存储应用。前者典型的有IPFS、Arweave等。后者主要有亚马逊云等。

但是这些存储方案并非每个都能现成地提供永久存储,有些可以提供永久存储但费用较高,有些只能提供按时收费的临时存储,各有优缺点。因此如何综合考虑使用一种或多种方案进行组合,构建一套能够永久存储的服务就是项目开发者必须考虑的问题。

但是当项目方考虑使用这些方案时,这些方案本身可能存在什么问题?在组合使用这些方案时可能存在哪些安全上的隐患或者潜在风险?如何规避和防范这些隐患或潜在风险?有关这些问题的讨论和研究至今所见相当有限。

Fairyproof自成立伊始便开始关注这个领域的研究和探索,尤其是在安全实践中可能会存在什么难点和重点等。我们基于自身的积累和实践,探索、研发了一套系统的方案用来评价和审查NFT辅助服务或应用,并研发、部署了一套全面的流程和系统以检视这些辅助服务或应用在各类实践方案中可能存在的安全隐患及潜在风险。

对NFT项目的审计不单单是对NFT智能合约的审计,它是一个系统工程、是一套综合流程,需要从生态的角度全面审视NFT本身、其核心业务逻辑及所涉及的周边应用、基础设施和辅助服务。

Fairyproof一直并将持续、密切地关注NFT生态的发展,持之以恒地深入研究这个领域的安全问题,在已经建立的成熟框架上继续扩展和探索领域内最新的发展,并继续和同业分享我们对前沿问题的思考和前瞻判断。

参考文献:

Non-fungible token, https://en.wikipedia.org/wiki/Non-fungible_token, Feb 22, 2022

ERC-20 Token Standard, https://ethereum.org/en/developers/docs/standards/tokens/erc-20/

Understanding Security Issues in the NFT Ecosystem, https://arxiv.org/abs/2111.08893, Jan 19, 2022

ERC-721 Non-fungible Token Standard,

https://ethereum.org/en/developers/docs/standards/tokens/erc-721/

EIP-1155: Multi Token Standard, https://eips.ethereum.org/EIPS/eip-1155?

A Beginner’s Guide to Understanding PFP NFTs,

https://medium.com/geekculture/a-beginners-guide-to-understanding-pfp-nfts-8714e9d30d0b, August 29, 2021

CryptoPunks, https://www.larvalabs.com/cryptopunks

BAYC, https://boredapeyachtclub.com/#/

OpenSea, https://opensea.io/

Rarible, https://rarible.com/

Curve, https://curve.fi/

MakerDAO, https://makerdao.com/

Nifty Gateway, https://niftygateway.com/

metadata, https://csrc.nist.gov/glossary/term/metadata

IPFS, https://ipfs.io/

Arweave, https://www.arweave.org/

AWS, https://aws.amazon.com/

About the author:

Yuefei TAN, CEO of Fairyproof

About Fairyproof:

Fairyproof Tech is a blockchain security company, established in Jan 2021.

It was founded by a team with rich experience in smart contract programming and network security. The team members participated in initiating a number of draft standards in the Ethereum field, including ERC-1646, ERC-2569, ERC-2794, and EIP-3712, of which ERC-2569 was officially accepted by the Ethereum team.

The team participated in the launch and development of various Ethereum projects, including blockchain platforms, DAO organizations, on-chain data storage, decentralized exchanges, and conducted security audits of multiple projects which have been deployed on Ethereum. Based on its strong R&D capability and deep understanding of smart contract security, Fairyproof has developed comprehensive vulnerability tracking and security systems and tools.

Fairyproof Tech serves and works closely with customers by providing systematic solutions covering both “code vulnerabilities” and “logic vulnerabilities” and aims to provide customers with the best and most professional services.

标签:NFT区块链ANDHTTNFTShiba.Finance币换天下区块链GLAND价格HTT价格

酷币热门资讯
主网正式上线后 Evmos上都有哪些生态项目了?

作为Cosmos生态的EVM网络,Evmos是近期最受关注的项目之一,它将通过 IBC 与以太坊主网、EVM 兼容环境和其他 BFT 链互操作,使用户和开发人员可以轻松地在链之间进行无缝交互.

1900/1/1 0:00:00
一文读懂 Web3:互联网发展的新时代

Web3 这个新鲜的专业名词诞生于 2014 年,在一开始,它被用来描述实现去中心化共识的新型协议,而到如今,它已经成为了对公链生态、应用程序甚至设计理念的统称.

1900/1/1 0:00:00
详解通往Web3的护照:去中心化身份DID

互联网的创建没有为人们提供本地身份验证层。由此,数字身份问题被纳入网站和应用程序范畴。这种方法可能适用于互联网的早期阶段,但现在线上有数十亿人,但缺点正变得越来越明显。用户名和密码仍占主导地位,尽管这被反复证明是不安全的模型.

1900/1/1 0:00:00
深度探讨DAO的协作方式:如何引导与激励人们为DAO工作?

这是 PAKA 盘 DAO 系列的第二篇,上一篇我们对DAO 的探讨围绕 Token 与治理展开,而本篇的探讨将围绕人和协作进行.

1900/1/1 0:00:00
金色前哨|KAVA推出7.5亿美元的开发者激励计划

金色财经报道,3月4日消息,跨链DeFi平台KAVA宣布KavaDAO已决定分配7.5亿美元用于开发者激励,并宣布激励计划“KavaRise”.

1900/1/1 0:00:00
晚间必读5篇 | NFT相关的21个常见术语科普

1.金色观察|在以太坊上开发DApp需要哪些工具?从2017年和2018年开始,以太坊上的应用不断出现,如今形式多样,但在开发上可以进行一定的归类.

1900/1/1 0:00:00