区块链 | NFT 相关论文:Can I Own Your NFTs? Understanding the New Attack Surface to NFTs(二)

已于 2024-04-30 13:14:07 修改
阅读量1k 收藏 18
点赞数 9
分类专栏: 区块链 文章标签: 区块链
于 2024-04-29 15:32:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64140451/article/details/138307658
版权

目录

Attack Surface Analysis

1  Threat Model

2  Attack Models

2.1  所有权复制攻击

2.2  代币复制攻击

2.3  资产移除攻击

2.4  元数据移除攻击

2.5  资产复制攻击

🦊原文:Can I Own Your NFTs? Understanding the New Attack Surface to NFTs

🦊写在前面:本文只会记录个人认为极有价值的部分。

Attack Surface Analysis

在本节中,我们旨在从结构角度分析 NFT 的安全漏洞。虽然 NFT 交易是在区块链上进行的,但是我们不关注任何已知的针对区块链的攻击,而是关注 NFT 必须防御的新攻击面。

1  Threat Model

我们假设敌手的目的是诱使用户购买重复的或者根本不存在的数字资产,而非破坏用户的账户。敌手可以将数字资产托管在服务器上,并在区块链(例如,以太坊)上部署智能合约。然后,敌手操纵链接 tokenID 到数字资产的 URL,或者链接 tokenID 到元数据的 URL 。下面介绍了不同类型的 URL 操纵攻击。

后文中指向数字资产的链接和指向元数据的链接都是 URL

2  Attack Models

下面所示的攻击模型基于当前 NFT 的架构,而与交易平台无关。换句话说,即使是没有在任何平台上上架的 NFT(例如,那些单独交易的 NFT),也可能受到这些攻击模型的攻击。

攻击模型总览:

由上图可知,本文讨论的攻击模型都是在对链接大做文章。

2.1  所有权复制攻击

敌手使用前一次交易中已经使用过的链下 NFT 的现有 URL 地址,来发布一个新的合约。在这种情况下,NFT 的所有权可能会被篡改,如下图所示:

在当前交易(transaction2)中,敌手在铸造 NFT 的时候使用了指向 metadata1 的链接 url1,但 url1 已经在前一个交易(transaction1)中使用过了。所有权复制攻击之所以可能发生,是因为在 NFT 铸造过程中不存在对 URL 的审查机制。

“原则上,这允许敌手使用相同的元数据来铸造无限数量的 NFT” 这句话在原文中被放在 2.2 节,但我觉得放在 2.1 节中比较合适吧😇

简而言之,通过使用相同的指向元数据的链接,把同一个元数据链接到不同的 NFT 上。

2.2  代币复制攻击

在理想情况下,链下 NFT 的数字资产只能使用单个元数据来表示。然而在代币复制攻击中,敌手将一个数字资产链接到多个元数据上。如下图所示:

即虽然 metadata2 使用的是与 metadata1 相同的指向数字资产的链接,但是 metadata2 仍然可以在交易中被铸造为另一个 NFT 。代币复制攻击之所以可能发生,是因为在 NFT 铸造过程中不存在对元数据的审查机制。

因为指向数字资产的链接是被包含在元数据内的,所以需要的是对元数据内容的审查。

2.3  资产移除攻击

在资产移除攻击中,敌手在链下 NFT 出售后尝试从数据托管服务器上移除数字资产。

下图说明了这种攻击:

link1 是指向数字资产的链接,并被包含在元数据中。一旦 link1 变得无效或被替换,那么 NFT 所有者将失去正确的数字资产所有权证明。

这句话貌似只针对了链接被替换的情况。如果链接变得无效,则是失去所有权证明;如果是链接被替换,则是拥有错误的所有权证明。

这种情况是可能发生的,因为数字资产存储在链下。特别地,如果敌手拥有数字资产,那么 TA 可以很容易地移除或替换现有的数字资产。目前的 NFT 系统在交易后没有为买家提供任何保护。不过这种攻击对链上 NFT 不起作用,因为它们存储在区块链上。

简而言之,目前的 NFT 系统没有为买家提供售后服务,链接失效是很有可能的。

2.4  元数据移除攻击

在元数据移除攻击中,敌手旨在使交易不能链接到服务器上的任何元数据,如下图所示:

url1 是指向元数据的链接,并被包含在 NFT 交易(NFT 智能合约)中。一旦 url1 变得无效,那么包含 url1 作为 tokenURI 的 NFT 将成为孤儿 NFT,即没有人知道它所代表的数字资产的所有者。这种情况是可能发生的,因为元数据也是存储在链下,并且缺乏保护。元数据移除攻击对链上 NFT 不起作用。

2.5  资产复制攻击

如果数字资产存储在集中式存储服务器上,那么在服务器上放置一个假冒的、极其相似的数字资产是没有成本的。同样,即使数字资产存储在分布式存储服务器(如 IPFS)上,也不例外。

集中式存储服务器允许存储多个相同的数字资产?

IPFS 利用数据内容的哈希值来创建 link 或 url,因此它不支持存储数据的多份副本。这意味着,即便数字资产中仅有一位发生变动,所产生的哈希值也将截然不同。基于这一机制,IPFS 杜绝了相同数字资产的存储,但允许存储那些内容仅略有差异的资产。

因此,敌手可以下载一个现存的珍贵数字资产,对其进行难以察觉的微小修改,然后将其重新包装并作为另一个 NFT 进行销售。从本质上讲,由于数字资产的特性,无论是在区块链上还是区块链下存储,都很难检测和防范这种操纵行为。

狂放不羁霸
关注
  • 9
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
区块链 | NFT】手把手教你如何生成式NFT艺术品创作(1)
04-13 2873
在这个教程中,我们将学习如何使用使用一组基础特征实现生成式NFT艺术品。 使用的工具包括Python和Scrappy Squirrels提供的基础特征库。 像Cryptopunks 和Bored Ape Yacht Club这样的Marquee NFT 项目 已经产生了数亿美元的收入,并让 开发者成为了百万富翁。这些项目(以及当今大多数其他成功的 NFT 项目)的共同点是它们都是PFP 项目。 这意味着它们通常是 10,000 多个化身的集合,其中每个化身都是独一无的,并且具有一组特征。 在这
区块链 | NFT | Unity3D】Unity3D NFT开发教程,unity3d开发链游教程
04-13 7308
ethereum-unity-boilerplate包含用于快速构建 web3 游戏的 Unity 组件和挂钩。使用此 SDK, 你可以为移动、桌面、Xbox、Playstation 和其他平台构建 web3 游戏。ethereum-unity-boilerplate 允许你在任何平台上使用Crypto钱包对用户进行身份验证。 目录 1、准备工作 2、创建Unity项目 3、运行示例游戏 4、WebGL版本 1、准备工作 首先安装所有依赖项: Unity Hub Visual ...
区块链 | NFT 相关论文:Can I Own Your NFTs? Understanding the New Attack Surface to NFTs(一)
狂放不羁霸的博客
04-29 695
1 NFT Platform Architecture 2 Minting NFTs 3 Trading NFTs 3.1 Storage 3.2 Trading
区块链 | NFT 相关论文:Can I Own Your NFTs? Understanding the New Attack Surface to NFTs(三)
狂放不羁霸的博客
04-29 1040
1 实验准备 2 攻击演示 2.1 所有权复制攻击 2.2 代币复制攻击 2.3 资产复制攻击 3 讨论 3.1 保护所有相关数据 3.2 保护链接 3.3 复制品检查
区块链 | OpenSea 相关论文:Toward Achieving Anonymous NFT Trading
狂放不羁霸的博客
04-22 1196
Toward Achieving Anonymous NFT Trading
区块链 | OpenSea 相关论文:Toward Achieving Anonymous NFT Trading(一)
狂放不羁霸的博客
04-22 1064
Toward Achieving Anonymous NFT Trading
区块链 | OpenSea 相关论文:Toward Achieving Anonymous NFT Trading(三)
狂放不羁霸的博客
04-24 933
Toward Achieving Anonymous NFT Trading
区块链技术|NFT交易平台|NFT数字艺术藏品|NFT上链铸造
weixin_nswl10086的博客
06-08 3340
数字藏品商城系统开发,数字藏品商城App开发,数字藏品商城小程序开发,数字藏品软件开发,数字藏品平台开发,数字藏品模式制度开发数字藏品行业蓬勃发展。所谓“数字藏品”是指使用区块链技术进行唯一标识的特定数字化作品、艺术品和商品。区块链技术能赋予每个数字作品唯一的标识编码,数字化文创作品便相当于具有“身份证”了。数字藏品,是NFT的一种应用形式,目前网络上所说的数字藏品、NFT、NFR,都是数字藏品的一种称呼方式。而NFR或者NFR数字藏品,则是国内对NFT本地化的一种新称呼,去除了NFT的代币属性。数字藏品是
NFT背后的区块链之争:公链还是联盟链?
qq_32193015的博客
06-08 1075
2022年,NFT在全球迎来史无前例的爆发,数字藏品、元宇宙等概念被大众所熟知,国内虽因政策问题没有出现像国外般狂热的NFT浪潮,但其本地化的“数字藏品”已经成为大家追捧的新趋势。在国内本土化后的“NFT”正逐渐被“数字藏品”取代,那“数字藏品”与“NFT”的底层区别是什么?联盟链上面的数字藏品能否与公链上的NFT一较高下?针对这些问题,金色财经特别邀请到边界智能创始人曹恒参加本期的金色相对论,一起探讨NFT背后的区块链之争。 问题:当前国内市场NFT平台所依托的底层链都是以什么形式的链为主?曹恒:从分类来
2021年中国NFT行业概览:是炒作还是机遇?.pdf
01-15
2021年中国NFT行业概览:是炒作还是机遇?.pdf
NFT_search:所有与区块链相关的项目
03-21
NFT_search 该项目是为NFTHack创建的(2021年3月19日-3月21日) 演示链接:OpenSea: ://opensea.io/assets/0xe498ec1aff3c1460f6a818826443fd2a7817e775/2900020420 超级稀有 稀有 佐拉: : Mintable: ://...
NFT专题研究:从NFT热潮中看NFT的意义和价值、NFT时代的商业机会.pdf
01-26
NFT专题研究:从NFT热潮中看NFT的意义和价值、NFT时代的商业机会.pdf
2021年中国NFT行业概览:是炒作还是机遇?(39页).pdf
02-17
2021年中国NFT行业概览:是炒作还是机遇?(39页).pdf
nft-handler:NFT处理程序| 链节节点| ERC1155
04-30
HODL共同的NFT分布 如何设置chainlink节点 设置.env文件 mkdir ~/.chainlink-kovan touch .env 将其放入您的~/.chainlink-kovan/.env文件中: ROOT=/chainlink LOG_LEVEL=debug ETH_CHAIN_ID=42 MIN_OUTGOING_...
解锁链上创意新时代,Story Protocol 如何颠覆内容创作与知识产权管理?
最新发布
TinTinCommunity的博客
05-17 681
代码库中有两个示例,一个是如何注册非商业 IP 资产和 License,另一个是商业用途的例子。Kingter Wang 举例道,如果一个 Bored Ape Yacht Club (BAYC) 的持有者想授权他人使用其 IP 进行衍生创作,可以通过许可证模块创建一个许可证 token。Ze 进一步解释道,这个环境从最初注册一个 NFT,到创建一个 IP 资产,再到申请一个许可证,并通过许可证创建一个许可令牌(License Token)作为一个颇具潜力的平台,v=ty5GiNekVh0。
IT行业的现状与未来发展趋势
cooldream2009的博客
05-14 837
随着技术的不断进步,IT行业已成为推动全球经济和社会发展的关键力量。从云计算、大数据、人工智能到物联网、5G通信和区块链,这些技术正在重塑我们的生活和工作方式。本文将探讨当前IT行业的技术革新及其在不同行业中的应用前景和潜在影响,分析新兴技术对教育体系的挑战和机遇,以及如何培养下一代IT专业人才。同时,深入探讨人工智能和机器学习技术的最新发展及其应用。
IT行业的现状与未来:技术创新引领时代变革
前端程序猿的博客
05-15 272
IT行业正在以惊人的速度发展和变革,成为驱动全球经济和社会发展的重要引擎。无论是云计算、大数据、人工智能、物联网、5G通信还是区块链,每一项技术都在不断进步,并相互融合,推动着技术的前沿发展。未来,我们期待更多行业领袖、技术专家和创新者参与到这一过程中,共同探索IT行业的无限可能,推动技术进步与社会发展的深度融合。让我们一起迎接IT行业的美好未来,创造更加智能、高效和安全的数字化世界!
中关村论坛 | 区块链与隐私计算论坛倒计时1天!
weixin_55760491的博客
05-15 346
本次论坛围绕释放数据要素价值深入探讨如何将区块链与隐私计算技术深度融合,赋能高效、安全的数据要素市场体系建设。中国科学院院士郑志明、硅谷知名投资人史蒂夫 · 霍夫曼、微芯研究院首席科学家黄普将与多位行业专家、领军企业及政策制定者,一同剖析前沿趋势、分享实践案例、探索解决方案,以期推动数据要素市场的构建与可持续发展。长安链开源社区温馨提示:请在4月26日-29日08:00-17:00期间,于中关村展示中心4号门内证件中心出示有效身份证件领取本人参会证件,建议打车或其他绿色出行方式出行。微芯研究院首席科学家。
区块链具体含义是什么?nft具体含义是什么?
04-25
区块链是一种去中心化的分布式数据存储和传输技术,它使用密码学方法保证信息安全,不受第三方干扰,同时具有不可篡改、去中心化、透明等特点。 而 NFT(非同质化代币)则是区块链技术中的一种数字资产,它是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值