以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

ORD:NFT 借貸平臺 XCarnival 被盜3000 ETH 事件分析

Author:

Time:1900/1/1 0:00:00

NFT借貸平臺@XCarnival_Lab大約7個小時之前被黑了,至少有3000個$ETH (約380萬美元)被盜。下面是該事件的簡要分析:

該NFT借貸平臺的合約有個bug:作為抵押品的NFT在取出后,其orderID仍然可用,可以此申請貸款。

?xNFT, NFT管理器. https://etherscan.io/address/0xb14b3b9682990ccc16f52eb04146c3ceab01169……?

另類資產NFT交易平臺HedgeUp完成超90萬美元預售輪融資:金色財經報道,另類資產NFT交易平臺HedgeUp宣布完成超90萬美元預售輪融資,Cardano和Polygon鏈上投資者參投。HedgeUp平臺允許加密投資者在熟悉的Web3環境下通過購買NFT支持的資產來參與黃金、珠寶、藝術品等投資,繼而彌合加密投資者與另類資產類別之間鴻溝。 (coinpedia)[2023/4/29 14:34:36]

?P2Controller, 很多借貸限制條件的驗證者.

英國NFT游戲開發公司Oxalis Games完成450萬美元融資,芬蘭游戲巨頭Supercell參投:金色財經報道,英國NFT游戲開發公司Oxalis Games宣布完成了一筆450萬美元的最新融資,領投方為Blocore,參投方包括芬蘭游戲巨頭Supercell、香港加密和Web3游戲投資公司Animoca Brands、Griffin Gaming Partners、Ian Livingston爵士和Jagex首席執行官Phil Mansell。Oxalis Games 由 Bossa Studios 和 The Secret Police 的前聯合創始人Gina Nelson 共同創立,他們希望打造樂趣至上的下一代加密游戲,在質量和用戶體驗方面提高標準并用 NFT 做一些以前從未見過的開創性工作,繼而重新定義人們對加密游戲的看法。(blockchaingamer)[2022/6/7 4:07:12]

黑客 https://etherscan.io/address/0xb7cbb4d43f1e08327a90b32a8417688c9d0b800a… 從Tornado中拿出了干壞事的啟動資金. 然后在OpenSea上購買了 #BAYC 5110。

“像素貓頭鷹”NFT項目Moonbirds交易額突破5億美元:金色財經報道,據最新數據顯示,“像素貓頭鷹”NFT項目Moonbirds交易額已突破5 億美元,創下歷史新高,本文撰寫時為500,260,109美元,交易量為16,085 筆。Moonbirds總計鑄造發行10000枚NFT,其中7,875枚則按照2.5ETH的價格公開鑄造銷售,目前已全部售罄,據OpenSea數據顯示,該NFT系列地板價為 28.889 ETH,24小時跌幅為9.58%。[2022/5/4 2:49:01]

他部署了一個總控合約 0xf706…ca8d https://etherscan.io/address/0xf70f691d30ce23786cfb3a1522cfd76d159aca8d……, 該合約生成了很多用來當女巫用同一個NFT進行借貸的馬仔合約,比如0x5338…3714 https://etherscan.io/address/0x53386a82e55202a74c6d83c7eede7a80ba553714…….

首先,總控將BAYC轉給某個馬仔(以0x5338為例)。馬仔然后調用xNFT中的pledgeAndBorrow()函數(抵押并貸款),抵押品為BAYC,但什么也沒貸(貸款為一個總控部署的假xToken合約,數量為0)。本步驟生成了一個orderID(43)。

本Tx中可以看到這些過程,不過只有internal transaction。如果想詳細解讀得自己深挖調用棧。馬仔5338然后取出剛才抵押的NFT,并還給總控。總控再把NFT給別的馬仔。如此左手倒右手循環,黑客搞出了幾十個orderID,之后可作為借款憑證。而有bug的xNFT并沒有在取出抵押物后撤銷憑證orderID。

下一步,總控讓所有馬仔依次從xETH合約里借錢。攻擊完成。黑客用空氣借走了真金白銀(NFT抵押品早就取出了)。這是其中一個tx。

上面的是大概過程。再來看下細節。在xNFT合約中,withdrawNFT()并咩有在取出后消除orderID。當P2controller調用getOrderDetail()時還是能取到這個ID。

在xETH中,borrow()會調用borrowInternal()然后調用controller.borrowAllowed() 來驗證orderID是否有效。

Tags:NFTETHORDDERIUNFT幣ETHYOrdocoinDeri Protocol

歐易交易所app官網下載
SHA:以太坊擴容終極解決方案 :Danksharding (一)

熟悉Vitalik(以太坊創始人)的都了解其著名的不可能三角理論,相較于傳統貨幣理論,一國無法同時實現貨幣政策的獨立性,匯率穩定和資本自由流動,最多只能同時滿足兩個目標.

1900/1/1 0:00:00
ROLL:Rollup 生態系統中的可組合性

Rollup中最常見的評論之一是,它們 "破壞了可組合性"。這一直是大多數單體鏈多數派成員的主要爭論點。然而,"一鏈治百病 "是不可能的。因此,一個多鏈的生態系統是唯一的出路.

1900/1/1 0:00:00
Chain:Chainalysis:Decentralize 的 DAO 其實沒那么去中心化

撰文:Chainalysis 編譯:Aididiao 去中心化自治組織(DAO)是 Web3 時代的主要組織運行模式.

1900/1/1 0:00:00
區塊鏈:金色早報 | 央行參加國際清算銀行發起的人民幣流動性安排

頭條 ▌央行參加國際清算銀行發起的人民幣流動性安排金色財經報道,據中國人民銀行官方公眾號,6月25日,中國人民銀行與國際清算銀行(BIS)簽署了參加人民幣流動性安排(RMBLA)的協議.

1900/1/1 0:00:00
MULTI:金色趨勢丨礦工投降 買入機會來了?

Puell Multiple是追蹤礦工何時可能開始大規模拋售比特幣以此來獲利的過程,Puell Multiple是當前礦工收入和其365天平均之間的比率,該指標用于識別BTC的價格周期.

1900/1/1 0:00:00
NER:資源:在10天內建立區塊鏈知識框架

隨著加密資產的應用越來越廣泛,現在有越來越多的人想要對區塊鏈技術有一個基本了解。本文總結了一些獲得區塊鏈知識的主要來源,如播客、書籍、論文、學習計劃、研討會、在線課程和在線文章等.

1900/1/1 0:00:00
ads