NFT借貸平臺@XCarnival_Lab大約7個小時之前被黑了,至少有3000個$ETH (約380萬美元)被盜。下面是該事件的簡要分析:
該NFT借貸平臺的合約有個bug:作為抵押品的NFT在取出后,其orderID仍然可用,可以此申請貸款。
?xNFT, NFT管理器. https://etherscan.io/address/0xb14b3b9682990ccc16f52eb04146c3ceab01169……?
另類資產NFT交易平臺HedgeUp完成超90萬美元預售輪融資:金色財經報道,另類資產NFT交易平臺HedgeUp宣布完成超90萬美元預售輪融資,Cardano和Polygon鏈上投資者參投。HedgeUp平臺允許加密投資者在熟悉的Web3環境下通過購買NFT支持的資產來參與黃金、珠寶、藝術品等投資,繼而彌合加密投資者與另類資產類別之間鴻溝。 (coinpedia)[2023/4/29 14:34:36]
?P2Controller, 很多借貸限制條件的驗證者.
英國NFT游戲開發公司Oxalis Games完成450萬美元融資,芬蘭游戲巨頭Supercell參投:金色財經報道,英國NFT游戲開發公司Oxalis Games宣布完成了一筆450萬美元的最新融資,領投方為Blocore,參投方包括芬蘭游戲巨頭Supercell、香港加密和Web3游戲投資公司Animoca Brands、Griffin Gaming Partners、Ian Livingston爵士和Jagex首席執行官Phil Mansell。Oxalis Games 由 Bossa Studios 和 The Secret Police 的前聯合創始人Gina Nelson 共同創立,他們希望打造樂趣至上的下一代加密游戲,在質量和用戶體驗方面提高標準并用 NFT 做一些以前從未見過的開創性工作,繼而重新定義人們對加密游戲的看法。(blockchaingamer)[2022/6/7 4:07:12]
黑客 https://etherscan.io/address/0xb7cbb4d43f1e08327a90b32a8417688c9d0b800a… 從Tornado中拿出了干壞事的啟動資金. 然后在OpenSea上購買了 #BAYC 5110。
“像素貓頭鷹”NFT項目Moonbirds交易額突破5億美元:金色財經報道,據最新數據顯示,“像素貓頭鷹”NFT項目Moonbirds交易額已突破5 億美元,創下歷史新高,本文撰寫時為500,260,109美元,交易量為16,085 筆。Moonbirds總計鑄造發行10000枚NFT,其中7,875枚則按照2.5ETH的價格公開鑄造銷售,目前已全部售罄,據OpenSea數據顯示,該NFT系列地板價為 28.889 ETH,24小時跌幅為9.58%。[2022/5/4 2:49:01]
他部署了一個總控合約 0xf706…ca8d https://etherscan.io/address/0xf70f691d30ce23786cfb3a1522cfd76d159aca8d……, 該合約生成了很多用來當女巫用同一個NFT進行借貸的馬仔合約,比如0x5338…3714 https://etherscan.io/address/0x53386a82e55202a74c6d83c7eede7a80ba553714…….
首先,總控將BAYC轉給某個馬仔(以0x5338為例)。馬仔然后調用xNFT中的pledgeAndBorrow()函數(抵押并貸款),抵押品為BAYC,但什么也沒貸(貸款為一個總控部署的假xToken合約,數量為0)。本步驟生成了一個orderID(43)。
本Tx中可以看到這些過程,不過只有internal transaction。如果想詳細解讀得自己深挖調用棧。馬仔5338然后取出剛才抵押的NFT,并還給總控。總控再把NFT給別的馬仔。如此左手倒右手循環,黑客搞出了幾十個orderID,之后可作為借款憑證。而有bug的xNFT并沒有在取出抵押物后撤銷憑證orderID。
下一步,總控讓所有馬仔依次從xETH合約里借錢。攻擊完成。黑客用空氣借走了真金白銀(NFT抵押品早就取出了)。這是其中一個tx。
上面的是大概過程。再來看下細節。在xNFT合約中,withdrawNFT()并咩有在取出后消除orderID。當P2controller調用getOrderDetail()時還是能取到這個ID。
在xETH中,borrow()會調用borrowInternal()然后調用controller.borrowAllowed() 來驗證orderID是否有效。
熟悉Vitalik(以太坊創始人)的都了解其著名的不可能三角理論,相較于傳統貨幣理論,一國無法同時實現貨幣政策的獨立性,匯率穩定和資本自由流動,最多只能同時滿足兩個目標.
1900/1/1 0:00:00Rollup中最常見的評論之一是,它們 "破壞了可組合性"。這一直是大多數單體鏈多數派成員的主要爭論點。然而,"一鏈治百病 "是不可能的。因此,一個多鏈的生態系統是唯一的出路.
1900/1/1 0:00:00撰文:Chainalysis 編譯:Aididiao 去中心化自治組織(DAO)是 Web3 時代的主要組織運行模式.
1900/1/1 0:00:00頭條 ▌央行參加國際清算銀行發起的人民幣流動性安排金色財經報道,據中國人民銀行官方公眾號,6月25日,中國人民銀行與國際清算銀行(BIS)簽署了參加人民幣流動性安排(RMBLA)的協議.
1900/1/1 0:00:00Puell Multiple是追蹤礦工何時可能開始大規模拋售比特幣以此來獲利的過程,Puell Multiple是當前礦工收入和其365天平均之間的比率,該指標用于識別BTC的價格周期.
1900/1/1 0:00:00隨著加密資產的應用越來越廣泛,現在有越來越多的人想要對區塊鏈技術有一個基本了解。本文總結了一些獲得區塊鏈知識的主要來源,如播客、書籍、論文、學習計劃、研討會、在線課程和在線文章等.
1900/1/1 0:00:00