以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > UNI > Info

NFT:深度解析Opensea掛單“漏洞” 公開訂單被黑客盯梢

Author:

Time:1900/1/1 0:00:00

近日Opensea出現了多個低價成交的頭部項目,疑似掛單有bug被黑客攻擊,黑客通過低價買到頭部的NFT項目BoredApeYachtClub等等,再立馬高價售出,以此獲利數百ETH,以下為分析結果。

先看OS掛單邏輯:出售NFT時授權--》確定價格--》簽名--》掛單完成。這時候簽名信息會保存在OS的中心化服務器,并且會有API對外開放。

正常交易流程中,買方購買完后這個訂單的簽名信息就作廢。

“被攻擊”的情況中,用戶在地址A下掛了一個價格為1ETH的NFT賣單,這時候可能會再把NFT轉到地址B。后面NFT價格如果漲到了10ETH這個NFT再回到A地址,OS上這個NFT依然會以1ETH的掛單價出現,這時候立馬會被人購買,賣家會遭受巨大的差價損失。而買方可以立馬轉手賣出賺取差價,下面黑客地址就是,低價買入三個BoredApeYachtClub并立馬賣出賺取了280ETH,約70萬美金。

過去24小時全網爆倉約2.55億美元:金色財經報道,數據顯示,過去24小時全網爆倉約2.55億美元,其中,多單爆倉6192.86萬美元,空單爆倉1.93億美元。BTC爆倉6173.5萬美元,ETH爆倉4095.35萬美元,XRP爆倉5287.93萬美元。[2023/7/14 10:54:34]

這個問題對NFT交易平臺方有點棘手:OS把訂單信息開放在了API中,公開透明,科學家可以通過API拿到訂單信息。所以上文中的這個NFT一旦回到A地址,就存在被立馬買走的風險。就算OS的功能立馬調整,不再展示1ETH的賣單信息,又或者是直接從數據庫刪除order信息,都解決不了這個問題。

DeFi借貸協議OpenLeverage:關于“將協議部署至Arbitrum”的提案已獲投票通過:2月10日,據官方消息,DeFi借貸協議OpenLeverage發推稱,將協議部署至Arbitrum的提案已獲投票通過。

提案稱,OpenLeverage作為多鏈無許可保證金交易協議,應部署在Arbitrum上,以幫助用戶獲得更多的交易機會。[2023/2/10 11:59:40]

并且現在關閉API也解決不了這個問題,之前存量的掛單信息可以視為已經完全泄露。而且可以從OS界面用爬蟲爬出order信息。所以只要準備足夠充分,NFT再次回到A地址,黑客可以在任何地方以1ETH買走這個NFT。

PartyDAO完成1640萬美元融資,a16z領投:6月10日消息,NFT競標平臺PartyBid運營團隊PartyDAO完成1640萬美 元融資,a16z領投,參投方包括Standard . Crypto、Compound Crypto、Dragonfly Capital、Uniswap Ventures以及Loot創始人 Dom Hofmann。[2022/6/10 4:15:34]

當然平臺可以在用戶轉走NFT的時候提醒cancelorder,這個操作后將作廢掉之前掛單的簽名信息,但會上鏈消耗GASFee,掛單多次需取消多次。Opensea的撮合合約里也沒有一次取消多個order的方法,這是其他OS競品交易市場可以進行優化的功能。可以一鍵取消多個掛單,減少用戶操作,不過GASFee肯定是少不了的。

平臺提醒目前看來是一個比較簡單快速的方式,但是是用戶也可以在其他平臺直接轉走NFT。比如我在OS掛了個賣單,我也可以imToken、Looksrare、Mintverse等其他平臺直接轉走NFT。總結一下就是沒法保證NFT掛單簽名信息百分百和NFT轉移一起失效。這個問題對NFT交易平臺來說有點無解,不僅僅是OS,任何NFT交易平臺都一樣。除非是中心化的交易平臺,所以對平臺來說只能不斷的提醒引導用戶,提高用戶風險意識。

對用戶而言,如果知道這個漏洞后注意別再把NFT轉回到之前的地址就沒問題。不過這個行業用戶知識水平參差不齊,轉錯ERC20到合約地址的情況都時有發生,NFT這個問題個人覺得后面也會一直有。也有用戶在掛了賣單情況下去進行質押之類的操作,這種情況取回來只能到原地址。這種情況如果有價格差,肯定有被擼走的風險。如果有這種情況的用戶,可用先取消掉授權,再取回NFT。

2022肯定還會出現一大批NFT交易市場,數據完整性,實時性,準確性;產品安全性,可用性,穩定性;肯定會成為未來NFT交易市場的競爭點。用戶也需要提高安全意識,保管好自己寶貴的NFT。

來源:金色財經

Tags:NFTETHPENAPIPawn My NFTYFTetheropensea幣單個價格Lapis

UNI
BTC:加密市場熊市來了嗎?當下如何操作?

長期看我文章的讀者看到市場跌到這個程度,很自然會想到現在適不適合定投。這幾天的文章末尾也有讀者反饋從今年一開年就開始定投了。什么價位定投、什么時候定投其實完全是因人而異的.

1900/1/1 0:00:00
EFI:以太坊和新公鏈在2022年會有什么變化?

2021年,DeFi以前所未有的速度增長,DEX交易量增加了兩倍,鎖定總價值翻了兩番。隨著以太坊交易費用飆升,交易速度更快、手續費更便宜的L1新公鏈崛起,,使以太坊的市場份額在一年內下降了三分之.

1900/1/1 0:00:00
GAS:探討以太坊EIP-1559弊端:仍不夠穩定

原標題|你知道嗎,以太坊EIP-1559可能并不穩定? 來源:medium 作者:SergioDemianLerner 編譯:陳一晚風 自以太坊因其Gas費高昂而漸漸被其他公鏈覬覦其市場份額后.

1900/1/1 0:00:00
NFT:回顧2021:資本涌入,觸發區塊鏈應用的無限可能

注:本文為年度回顧系列的一部分 2021區塊鏈融資總覽 融資數量和金額 數據顯示,2021年,區塊鏈行業融資市場十分活躍,資本以前所未有的速度流入區塊鏈領域,這一趨勢在3月之后更為明顯.

1900/1/1 0:00:00
區塊鏈:金色觀察 | 淺談區塊鏈、Web3.0和元宇宙

自2018年以來,科技熱詞層出不窮。區塊鏈之后,又掀起了元宇宙熱潮,最近有關Web3.0的討論也再次升溫,特斯拉首席執行官馬斯克、Twitter前CEOJackDorsey等科技大佬、學者也頻頻.

1900/1/1 0:00:00
NFT:從Web2到Web3,NFT如何成為Web3社交的基礎?

撰文:AndrewBeal編譯:TechFlow??這一期的靈感來自與@anonalyx的幾次談話,已經很久沒有一個話題能讓我如此興奮了。本周我們討論的是Web3的社交體驗.

1900/1/1 0:00:00
ads