a16z: การวิเคราะห์หลักการและการป้องกันการหลอกลวง NFT ใหม่ "Sleep Minting"

ที่มา: Old Yuppie

ที่มา: Old Yuppie"Sleep Minting"ในฐานะนักสะสม NFT คุณควรใส่ใจเกี่ยวกับแหล่งที่มาของสัญญาบนเครือข่าย แหล่งที่มาของ NFT ที่แท้จริงที่สุดนั้นสร้างขึ้นโดยตรงจากกระเป๋าเงินของผู้สร้างหรือสัญญาอัจฉริยะที่เป็นของผู้สร้าง อย่างไรก็ตาม ด้วยเล่ห์เหลี่ยมเล็กน้อย เราสามารถใช้วิธีที่เรียกว่า

เทคโนโลยีเพื่อจัดการกับแหล่งที่มาของผู้สร้าง NFT

Sleep Minting เป็นที่ที่นักต้มตุ๋นสร้าง NFT โดยตรงไปยังกระเป๋าเงินของผู้สร้างที่มีชื่อเสียงและกู้คืน NFT จากกระเป๋าเงินของผู้สร้าง

สิ่งนี้สร้างภาพลวงตาว่า:

ขึ้นอยู่กับ

ขึ้นอยู่กับ"โซ่"โซ่

ด้วยแหล่งที่มา นักต้มตุ๋นสามารถอ้างสิทธิ์ว่าตนเป็นเจ้าของ NFT ที่สร้างโดยผู้สร้างชื่อดังและขายในราคาที่สูงขึ้นได้

สิ่งนี้ทำงานอย่างไรในทางเทคนิค

Daren Matsuoka เพื่อนร่วมงาน a16z Crypto ของฉันเขียนบทความดีๆ บน Twitter เกี่ยวกับบันทึกเหตุการณ์และวิธีการทำงาน บันทึกเหตุการณ์การถ่ายโอนคือข้อความที่ส่งโดยสัญญาอัจฉริยะไปยังโลกภายนอก ซึ่งมีรายละเอียดเกี่ยวกับการถ่ายโอน NFT (ผู้ที่โอน NFT มาจากผู้ที่โอน NFT และ TOKEN ID ที่โอน) บันทึกเหตุการณ์การถ่ายโอนเป็นวิธีที่มีประสิทธิภาพในการตรวจสอบแหล่งที่มาของ NFT

ชื่อเรื่องรอง

การหลอกลวง Minting การนอนหลับ"from "ฉันทามติทั่วไปคือ หากคุณส่งธุรกรรมเพื่อโอน NFT ที่อยู่ของคุณควรรวมอยู่ในเหตุการณ์เป็น"from "สนาม. อย่างไรก็ตาม นี่ไม่ใช่กรณีที่สแกมเมอร์ดึงข้อมูล sleepNFT จากผู้สร้างที่มีชื่อเสียง นักต้มตุ๋นสามารถเพิ่มที่อยู่ปลอมของผู้สร้างที่มีชื่อเสียงได้

• Sleep minting

สนาม."First 5000 Days "นี่คือการสร้างเงินหลายล้านดอลลาร์ของ beeple"ขายบนของหายาก ดูภาพหน้าจอมันบอกไว้ชัดเจน

แต่เป็นการหลอกลวง ผู้สร้าง Monsieur Personne ซึ่งอ้างว่าเป็น Banksy ของ NFTs ได้จงใจสร้างชิ้นส่วนด้วยชื่อของ beeple โดยใช้เทคนิคที่เรียกว่า sleep minting แล้วเขาทำได้อย่างไร?

• ความรู้พื้นฐาน

ความรู้พื้นฐาน"Bob "NFT สร้างขึ้นโดยใช้สัญญาอัจฉริยะ ERC-721 และเก็บบันทึกความเป็นเจ้าของของ NFT เป็นรายการ ที่อยู่และหมายเลขซีเรียลของงานสร้างคู่กัน แบบนี้ (ผมใส่"Booble"）。

Alice: 1

Booble: 2

Malory: 3

แทนที่ด้วย

หลังจากทำธุรกรรมแล้ว Alice สามารถโอน NFT ของเธอไปยัง Booble ได้ด้วยวิธีต่อไปนี้

โอน 1: อลิซ ==> Booble

Alice:

Booble: 2, 1

Malory: 3

รายชื่ออัพเดทแล้วดังนี้

ใน Ethereum เราใช้ชื่อที่อยู่เพื่อระบุตัวตน และเราจำเป็นต้องลงนามการโอนเพื่ออนุญาต แต่ในตัวอย่างที่มีให้ในโพสต์นี้ ฉันจะใช้ชื่อที่ชัดเจนเพื่อทำให้คำอธิบายง่ายขึ้น

ตอนนี้ นักพัฒนามักจะใช้สัญญา ERC-721 ในวิธีที่สมเหตุสมผล อลิซสามารถถ่ายโอนได้ก็ต่อเมื่อเธอเป็นเจ้าของ NFT และสามารถให้ลายเซ็นที่ถูกต้องได้

มาตรฐาน ERC-721 เป็นเพียงสัญญาทางสังคมที่กำหนดอินเทอร์เฟซที่อนุญาตให้แพลตฟอร์มศิลปะทำงานร่วมกันได้ ตราบใดที่อินเทอร์เฟซของสัญญาตรงกับสัญญา ERC-721 เครื่องใดๆ ก็จะถือว่าใช้ได้

อย่างไรก็ตาม อย่างที่เราเห็นในตอนนี้ สิ่งนี้สามารถนำไปสู่ปัญหาด้านความปลอดภัยเกี่ยวกับที่มาของ NFT บน Ethereum ซึ่งสามารถแก้ไขได้

อย่างที่ฉันได้กล่าวไปแล้ว สัญญา ERC-721 ที่สมเหตุสมผลใดๆ จะอนุญาตให้นักขุดสร้างเหรียญสำหรับตัวเองเท่านั้น และโอนเศษที่พวกเขาเป็นเจ้าของเท่านั้น

อย่างไรก็ตาม สมมติว่าเราปรับแต่งสัญญา ERC-721 ของเราเพื่อให้เราสามารถสร้างบัญชีอื่นได้ สมมติว่าเราปรับฟังก์ชันการถ่ายโอนเพื่อให้บัญชีของเราสามารถถ่ายโอน NFT ของบุคคลอื่นได้ภายใต้สถานการณ์บางอย่าง จากนั้นเราสามารถสร้างสัญญาที่อนุญาตให้เรานอนหลับได้

mint 1: address(0) =>ตัวอย่าง: ในฐานะผู้โจมตี Malory เราสร้างผลงานที่มีหมายเลขซีเรียล 1 สำหรับ Booble

Booble (แสดงโดย Malory)

Alice:

Booble: 1

Malory:

ตอนนี้การจับคู่ของเรามีลักษณะดังนี้:

จากนั้น เนื่องจาก Malory ได้ปรับสัญญาเพื่อโอนชิ้นส่วนที่มีหมายเลขประจำเครื่อง 1 จากบัญชีของ Booble ไปยังบัญชีอื่น เธอจึงสามารถเสนอขายชิ้นส่วนดังกล่าวบนแพลตฟอร์ม NFT ได้อย่างหายาก"เนื่องจากการสร้างเหรียญจากที่อยู่ (0) ถึง Booble คือ"ผู้สร้าง--Booble

จะปรากฏขึ้น"Ethers"เมื่อ Malory ฉ้อโกงผู้ซื้อสำเร็จ เธอจะได้รับตัวเธอ

และขายงานลอกเลียนแบบให้กับผู้ซื้อ

โอน 1: Booble => ผู้ซื้อ (ดำเนินการโดย Malory)

Alice:

Booble:

Malory:

Buyer: 1

บันทึกความเป็นเจ้าของที่อัปเดตตอนนี้มีลักษณะดังนี้

ด้วยวิธีนี้ Malory ประสบความสำเร็จในการดัดแปลงบันทึกที่มาของ NFT และขายผลงานของเธอไปในราคาที่คุ้มค่า

รายละเอียด:ตรวจสอบข้อมูลของหายากและ Etherscan อย่างรอบคอบ

เราจะพบว่านี่เป็นปัญหาเกี่ยวกับอินเทอร์เฟซมากกว่าช่องโหว่ด้านความปลอดภัย ไม่มีใครสามารถเข้าถึงบัญชีของ beeple ได้

• นอกจากนี้ เมื่อคุณดูบันทึกธุรกรรมอย่างใกล้ชิด คุณจะสังเกตเห็นกลอุบายของมิจฉาชีพได้:

• ธุรกรรมโรงกษาปณ์ปลอม

ธุรกรรมการโอนปลอม"From "สำหรับธุรกรรมเหรียญกษาปณ์ เราจะเห็นว่า Etherscan แสดงสองรายการ

สนาม. รายการหนึ่งคือธุรกรรมที่ส่งโดย msg.sender และอีกรายการคือผู้ส่งที่ระบุ NFT

สำหรับฟิลด์ผู้ส่งของธุรกรรม เช่น msg.sender จะไม่สามารถจัดการได้ เนื่องจากต้องใช้ลายเซ็นที่ถูกต้องของคีย์ส่วนตัวของผู้ส่ง อย่างไรก็ตาม การอนุญาตฟิลด์ "โทเค็นที่โอนแล้ว" นั้นขึ้นอยู่กับช่องโหว่ของสัญญาอัจฉริยะ ดังนั้นจึงอาจถูกบิดเบือนได้。

พูดง่ายๆ ก็คือ มิจฉาชีพสามารถแก้ไขช่อง "Tokens Transferred" ได้โดยพลการ

ดังนั้นเราจึงต้องตรวจสอบว่าทั้ง From และ Tokens Transferred ตรงกับที่อยู่ที่ถูกต้องของ beeple ถ้าไม่มีแสดงว่าปลอม"rugpull "โจมตีมันด้วย