需要注意的 5 个 NFT 智能合约漏洞

据悉，自NFT出现以来，NFT领域出现了一些问题，这让很多人担心NFT不像以前想象的那么安全。然而，问题并不在于NFT本身。

NFT实际上是智能合约，这些合约存在漏洞。从本质上讲，智能合约只是代码，代码越复杂，错误出现的空间就越大。当然，开发人员倾向于一次又一次地梳理他们的代码中的错误和漏洞，但即使经过广泛的搜索——仍然可能存在一两个缺陷并在未来引发问题，尤其是当不良行为者设法识别它们时。

这就是为什么仍然应该进行安全审计的原因，因为智能合约的代码需要更多的关注。然后，也只有这样，智能合约——在某种程度上，NFT——才能得到充分保护。

让我们看一下智能合约中往往存在的一些更常见但仍然相当危险的缺陷：

NFT代币销售漏洞

不良行为者必须利用智能合约的缺陷来破坏NFT项目的第一个机会是在代币销售期间。最著名的例子之一是AdidasNFT代币销售。

随着销售的进行，攻击者设法绕过了钱包最大购买代币的限制。结果，黑客设法获得了330个NFT，永久破坏了阿迪达斯原本成功的首个NFT系列“进入元界”。为了实现这一点，黑客所要做的就是取消每个以太坊钱包只能获得两个NFT的限制。

市场漏洞

下一个缺陷不一定涉及NFT本身，而是可以找到它们的市场。这方面的一个例子是OpenSea，它是世界上最大的NFT市场。不久前，OpenSea遭受了一次攻击，攻击方设法以旧价格购买了硬币。

这个漏洞允许几个人以远低于代币市场价值的价格购买有价值的NFT。受此影响的最值得注意的项目是BoredApeYachtClub，其中一个NFT(#9991)以0.77ETH的价格购买，攻击者仅以84.2ETH的价格转售。

公开的私钥

我想提到的第三个问题并不是NFT特有的。事实上，自从有加密行业以来，它就一直是加密行业的一部分。它围绕着用于访问钱包和进行支付的私钥的安全存储展开。

黑客已经确定了许多可以用来对付不知情的投资者的方法，以窃取他们的私钥并访问他们的硬币和代币。最常用的方法之一是网络钓鱼。再次想到OpenSea，因为它最近遭受了网络钓鱼攻击，用户认为他们正在向网络发送交易。

相反，一名黑客欺骗他们使用MetaMask对数据进行签名，并在他们的签名的帮助下，攻击者设法窃取了他们的资金。

重入攻击

另一种类型的攻击称为重入攻击，这种攻击涉及OpenZeppelin最流行的NFT标准。本质上，OpenZeppelin最流行的NFT标准实现有一个回调函数。

从本质上讲，它是一个旨在帮助开发人员将NFT集成到项目中的功能，但问题是它也可能被滥用于进行重入攻击，前提是代码开发人员粗心大意而忘记提供针对它们的保护。这种攻击的最新示例之一发生在2月3日，当时HypeBeastNFT合约报告了攻击交易。

该项目对一个帐户可以铸造的NFT数量有限制，但攻击者使用回调函数再次调用mintNFT函数。

NFT骗局和地毯

有很多这样的例子，比如CoolKittens，它向投资者承诺一个带有猫艺术的电子代币，一个名为PURR的专用代币，以及DAO的成员资格。许多NFT项目已经做出并兑现了所有相当标准的承诺。然而，酷小猫没有。在宣布NFT收藏后仅三周，铸造就开始了，NFT开始出售。该项目爆炸式增长，仅在几个小时内就以70美元的价格售出了2,200多个NFT。

开发人员从全球加密货币买家那里收集了160,000美元，然后他们就随钱消失了。这只是加密行业中相当普遍的事情的一个例子，因此任何参与任何形式的代币销售的人都应该牢记这一点并格外小心。

结论

NFT部门为相当有回报的投资提供了大量机会，但它也可以通过许多不同的漏洞被用来对付投资者。情况并非总是如此，因为有时，缺陷可能在于出售它们的市场、不知道如何保护自己的投资者，甚至是希望欺骗社区并带着钱消失的NFT开发者.

保护投资者免受此影响的唯一方法是让项目对其智能合约进行审计，并让市场定期检查其系统是否存在错误和缺陷。至于投资者自己，他们唯一能做的就是谨慎行事，并努力对自己可能遇到的威胁进行自我教育，以及如果他们确实遇到任何这些或其他问题该怎么办。