DEF:深度解析Opensea掛單“漏洞” 公開訂單被黑客盯梢

近日Opensea（OS）出現了多個低價成交的頭部項目，疑似掛單有bug被黑客攻擊，黑客通過低價買到頭部的NFT項目Bored Ape Yacht Club等等，再立馬高價售出，以此獲利數百ETH，以下為分析結果。

先看OS掛單邏輯：出售NFT時授權（授權完成以后OS的撮合合約可以調用用戶地址的這個NFT）--》確定價格--》簽名--》掛單完成。這時候簽名信息會保存在OS的中心化服務器，并且會有API對外開放。

正常交易流程中，買方購買完后這個訂單的簽名信息就作廢。

最高人民法院院長周強：積極推進區塊鏈等科技創新成果同審判執行工作深度融合:11月26日，推動長三角一體化發展司法工作座談會在最高人民法院第三巡回法庭召開，最高人民法院院長周強出席會議并講話。周強要求，要堅持用改革思維和科技手段破解難題，大力深化司法體制改革和智慧法院建設，積極推進大數據、人工智能、區塊鏈等科技創新成果同審判執行工作深度融合。要推動長三角一體化司法協作平臺建設，探索建立集中送達等平臺，實現司法服務信息和資源共享。（人民網）[2020/11/27 22:22:19]

“被攻擊”的情況中，用戶在地址A下掛了一個價格為1ETH的NFT賣單，這時候可能會再把NFT轉到地址B。后面NFT價格如果漲到了10ETH這個NFT再回到A地址，OS上這個NFT依然會以1ETH的掛單價出現（親測確實會出現，但是用戶可能不知道），這時候立馬會被人購買，賣家會遭受巨大的差價損失。而買方可以立馬轉手賣出賺取差價，下面黑客地址就是，低價買入三個Bored Ape Yacht Club并立馬賣出賺取了280ETH，約70萬美金。

獨家丨褚康：本輪深度回調的主要原因是礦工拋售、美元走強及DeFi投機降溫:犇睿資本創始人、ForTube聯席CEO褚康在接受金色財經獨家采訪時指出，本輪深度回調的主要原因是礦工拋售、美元走強及DeFi投機降溫。近兩個月來，BTC的價格雖然達到新高，并數次測試了12,000美元的阻力位，但遲遲未能突破12,500的歷史強阻力位。數據表明，大型礦池向交易所發送的BTC數量超出了正常水平。礦工選擇在相對高位出售其持有的比特幣，給市場增加了拋售壓力。此外，美元開始反彈，宏觀經濟的好轉預期加強。作為避險資產的黃金和比特幣價格，雙雙大幅下跌。另外，?DeFi快速發展，從1.0的基礎業務（借貸、預言機、DEX、穩定幣、保險等）快速演進化到DeFi 2.0階段，即流動性激勵。流動性激勵促進了DeFi的飛速繁榮，DeFi聚合器YFI和YFII又進一步加深了市場的FOMO行情，同時形成了“N級次貸”。流動性激勵讓資金同時從中心化交易所流出到DeFi平臺，產生擠兌，引發嚴重的流動性危機。而建設者更加關注DeFi的本質功能，大幅度回調過后，市場會從短暫浮華繁榮的2.0回歸到DeFi 1.0，即優質的剛需的符合市場發展的DeFi 項目迎來了長期建倉的紅利期。[2020/9/8]

動態 | 網易聯合創新中心·德陽工業互聯網基地成立 推動區塊鏈等技術與工業制造業深度融合:據人民網消息，近日，“網易聯合創新中心·德陽工業互聯網基地”成立。據悉，該基地將利用網易云計算和大數據服務平臺，服務旌陽區企業上云，推動云計算、大數據、人工智能、區塊鏈等技術與工業制造業的深度融合。[2019/8/1]

這個問題對NFT交易平臺方有點棘手：OS把訂單信息開放在了API中，公開透明，科學家可以通過API拿到訂單信息。所以上文中的這個NFT一旦回到A地址，就存在被立馬買走的風險。就算OS的功能立馬調整，不再展示1ETH的賣單信息，又或者是直接從數據庫刪除order信息，都解決不了這個問題。

并且現在關閉API也解決不了這個問題，之前存量的掛單信息可以視為已經完全泄露。而且可以從OS界面用爬蟲爬出order信息。所以只要準備足夠充分，NFT再次回到A地址，黑客可以在任何地方以1ETH買走這個NFT。

當然平臺可以在用戶轉走NFT的時候提醒cancel order，這個操作后將作廢掉之前掛單的簽名信息，但會上鏈消耗GAS Fee，掛單多次需取消多次。Opensea的撮合合約里也沒有一次取消多個order的方法，這是其他OS競品交易市場可以進行優化的功能。可以一鍵取消多個掛單，減少用戶操作，不過GAS Fee肯定是少不了的。

平臺提醒目前看來是一個比較簡單快速的方式，但是是用戶也可以在其他平臺直接轉走NFT。比如我在OS掛了個賣單，我也可以imToken、Looksrare、Mintverse等其他平臺直接轉走NFT。總結一下就是沒法保證NFT掛單簽名信息百分百和NFT轉移一起失效。這個問題對NFT交易平臺來說有點無解，不僅僅是OS，任何NFT交易平臺都一樣。除非是中心化的交易平臺，所以對平臺來說只能不斷的提醒引導用戶，提高用戶風險意識。

對用戶而言，如果知道這個漏洞后注意別再把NFT轉回到之前的地址就沒問題。不過這個行業用戶知識水平參差不齊，轉錯ERC20到合約地址的情況都時有發生，NFT這個問題個人覺得后面也會一直有。也有用戶在掛了賣單情況下去進行質押之類的操作，這種情況取回來只能到原地址。這種情況如果有價格差，肯定有被擼走的風險。如果有這種情況的用戶，可用先取消掉授權，再取回NFT。

2022肯定還會出現一大批NFT交易市場，數據完整性，實時性，準確性；產品安全性，可用性，穩定性；肯定會成為未來NFT交易市場的競爭點。用戶也需要提高安全意識，保管好自己寶貴的NFT。

Tags：NFTDEFIDEFEFINFTBOXRio DeFiDeFi.chdefi幣多少錢一個

NEAR