Web3.0热潮下NFT安全事件为何频发
最近一段时间,Web3.0不断“刷屏”,Web3.0基于区块链而存在,承诺将隐私和数字身份还给用户,同时由于NFT等的应用,实现了新的互动水平。但我们更需要关注的是Web3.0热潮下NFT的诸多“危险”与“隐患”。
成都链安创始人&CEO杨霞接受《链新》采访时,讨论了Web3.0热潮下的如何保证NFT资产的安全。
《链新》:近期全球发生了多起NFT合约安全事件?你如何看待此事?
杨霞:是的,近期NFT安全事件发生频繁,比如4月21日,NBA的NFT项目合约遭受攻击,攻击者利用了签名未验证,在合约代码中,vData memory参数info在传入函数中未进行验证导致签名可复用,攻击者可以通过使用其他人的签名来进行Mint,导致项目方被疯狂“薅羊毛”。而在4月23日,NFT项目Akutar惊现低级漏洞,它的AkuAuction合约由于智能合约本身漏洞,导致11539ETH(价值约3400万美元)被锁死在合约中。经成都链安技术团队分析,发现Akutar项目的智能合约包含2个漏洞,导致项目方11539ETH(价值约3400万美元)被锁定无法提取。可见关注NFT合约风险,变得越来越紧迫。
《链新》:全球NFT合约问题包括哪些方面?
杨霞:NFT作为Web3.0的底座,它的安全问题对行业发展同样重要,为了护航Web3.0的安全生态,成都链安通过智能合约形式化验证工具链必验对上千个NFT项目进行漏洞扫描,发现NFT常见的合约问题还包括比如业务逻辑相关问题,此类问题可能直接导致合约的业务逻辑出错。以及代码规范相关问题,此类问题可能不会直接造成业务逻辑出错,但是会影响代码的可读性,造成合约调用时有多余的gas消耗等。同时不规范的代码也容易导致编写时逻辑混乱,有隐藏的逻辑错误的概率更高。
《链新》:国内的数字藏品是否有类似风险?针对这些风险可能有哪些解决方案?
杨霞:区块链数字藏品是一种创新业务,存在技术风险、价格炒作风险、金融安全风险、网络欺诈风险、侵权维权风险、监管合规风险等诸多风险。技术上而言,数字藏品也是通过智能合约来实现业务逻辑,比如,传统智能合约存在重入漏洞、数值溢出漏洞、业务逻辑实现不正确等各种问题,也需要警惕数字藏品合约存在相同漏洞,导致安全问题,而智能合约的不可变性导致攻击发生之后无法及时止损。国内的数字藏品主要还是集中在蚂蚁链、腾讯至信链上,而且禁止炒作售卖,因此安全性相对较高。为了避免风险,项目可找区块链安全公司进行合约审计,规避一些常规安全漏洞。
《链新》:对于投资者而言,如何避免相关的风险?
杨霞:NFT/数字藏品这波热潮吸引了无数人,当然,我们要警惕此类炒作。除了“不合理的溢价”外,近期全球与NFT有关的诈骗数量和范围也呈现出了现爆炸性增长,大家还需要多加防范。小心过度包装诈骗、非法集资诈骗、钓鱼网站诈骗、社交媒体诈骗、空投陷阱等等。
《链新》:区块链的安全问题甚嚣尘上,成都链安在链上安全方面是如何操作的?
杨霞:从技术角度来讲,我们建议项目方在项目上线之前一定要做好项目的代码审计,选择专业的审计公司进行合作,无疑能够大幅度提高项目的安全性。传统智能合约项目,只需要做好链上代码的审计便能避免绝大多数的风险。只有做好整个项目所有节点的安全防范,项目才能够安全的运行下去。同时,项目方还应积极与第三方安全公司构建联动机制,通过开展安全合作、建立安全防护机制,做好项目的前置预防工作与日常防护工作,时刻树牢安全意识。
任何新兴的技术都会存在一定的问题,只有经历不断的迭代,才会变得更加成熟和完善。每一次安全事件的发生,都在为后续的项目敲响警钟。区块链行业才刚刚开始,未来,行业发展还需要我们区块链安全同行一起努力。
《链新》:虽然区块链目前已经落地到了不少产业应用,但依然不被大众所熟知,结合成都链安的发展情况,你们觉得这里面最大的困难和挑战是什么?
杨霞:过去几年,区块链行业发展迅猛,相关政策频出,说明国家对区块链这一新兴技术的高度关注。比如,2021年初发布的“十四五”规划纲要将区块链作为新兴数字产业之一。2021年6月7日,工业和信息化部、中央网信办联合印发了《关于加快推动区块链技术应用和产业发展的指导意见》,有助于进一步夯实我国区块链发展基础,加快技术应用规模化,建设具有世界先进水平的区块链产业生态体系,实现跨越发展。
区块链技术已经在金融,物流,供应链金融,医疗,司法等领域得到了广泛尝试,在国家宏观政策和各地政府的大力扶持下,区块链技术的落地速度越来越快。但是,罗马不是一天能够建成的,区块链作为一个新型技术,还需要时间和市场的检验。
《链新》:在当前赛道,成都链安的优势在于哪些方面?
杨霞:首先,成都链安作为全球最早一批专门从事区块链安全的公司,团队成员均来自从事信息安全行业多年的国内外知名院校教授、博士后、博士以及知名企业精英,现有团队成员100余人,技术人员占比超过85%。已在北京、深圳、杭州、海南等多地设有分公司和办事处。
其次,我们非常重视技术创新和服务创新,以网络安全、形式化验证、人工智能和大数据分析四大技术为核心,打造了面向区块链全生态安全的自主可控的“链必安”一站式区块链安全服务平台,涵盖“六大安全产品”、“六大安全服务”,可为执法监管机构、金融机构、区块链企业等提供安全审计、安全防护、安全检测、安全监管、安全预警、安全咨询等全方位安全服务,提供区块链系统“研发-运行-监管”全生命周期的安全保障解决方案。
目前我们已与公安、工信部、中国通信院、网信办等执法监管机构,以及包括蚂蚁链、腾讯区块链、微众银行、万向区块链、布比等国内外头部区块链企业建立了深度合作;为全球2000多份智能合约、50多个区块链平台和落地应用系统提供了安全审计与防御部署服务;为上千家执法单位提供了案件前、中、后期全链条技术支持服务,成功协助破获案件总涉案金额数百亿。
再次,凭借卓越的综合能力,获得了工信部“网络安全技术应用试点示范项目”单位、中国信通院区块链安全检测的主要技术合作单位、CNVD国家区块链安全漏洞平台技术支持单位、国家互联网应急中心“区块链安全技术检测中心”主要技术合作单位、四川省区块链安全工程技术研究中心依托单位等,参与多项国家区块链安全标准的撰写等。
目前,我们获得前海母基金、联想创投、复星高科、成创投等知名机构的多轮投资。路漫漫其修远兮,吾将上下而求索,我们将继续努力,为区块链生态的安全发展保驾护航。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場