NFT:深度解析Opensea掛單“漏洞” 公開訂單被黑客盯梢

近日Opensea出現了多個低價成交的頭部項目，疑似掛單有bug被黑客攻擊，黑客通過低價買到頭部的NFT項目BoredApeYachtClub等等，再立馬高價售出，以此獲利數百ETH，以下為分析結果。

先看OS掛單邏輯：出售NFT時授權--》確定價格--》簽名--》掛單完成。這時候簽名信息會保存在OS的中心化服務器，并且會有API對外開放。

正常交易流程中，買方購買完后這個訂單的簽名信息就作廢。

“被攻擊”的情況中，用戶在地址A下掛了一個價格為1ETH的NFT賣單，這時候可能會再把NFT轉到地址B。后面NFT價格如果漲到了10ETH這個NFT再回到A地址，OS上這個NFT依然會以1ETH的掛單價出現，這時候立馬會被人購買，賣家會遭受巨大的差價損失。而買方可以立馬轉手賣出賺取差價，下面黑客地址就是，低價買入三個BoredApeYachtClub并立馬賣出賺取了280ETH，約70萬美金。

KuCoin與Web 3協作平臺Dmail Network達成深度戰略合作:金色財經報道，加密貨幣交易平臺KuCoin及其社區鏈KCC、KuCoin Wallet以及生態投資孵化平臺KuCoin Labs將與基于Web 3.0的協作平臺Dmail展開深度戰略合作。

據介紹，Dmail自成立以來，就受到了Hashkey Capital、Amino Capital、OIG VC等眾多投資者的關注。這兩家行業巨頭的合作將涉及技術、生態、信息服務，為用戶提供Web3級的信息服務體驗。

通過本次合作，Dmail將為KuCoin生態用戶提供基于多鏈的去中心化郵箱服務，同時KuCoin和KuCoin Labs也將為Dmail在技術、營銷、生態等方面提供全方位支持。（businesswire）[2022/9/21 7:09:52]

廣東：推動區塊鏈與數字經濟深度融合:金色財經報道，廣東省人民政府今日印發《廣東省科技創新“十四五”規劃》，其中指出圍繞區塊鏈等領域實施研發專項，推進可信數據服務網絡基礎設施建設，研發自主可控、互聯互通的區塊鏈開源平臺。聚焦數學、信息科學、密碼學等基礎科學和應用科學開展研究，強化共識機制、智能合約、加密算法、分布式存儲、跨鏈及分片等關鍵核心技術攻關，探索區塊鏈與新一代信息技術融合應用，形成區塊鏈技術研發和產業應用高地。在新興產業集群方面，區塊鏈與量子信息是十大戰略性新興產業集群之一，突破一批區塊鏈底層核心技術、組件化通用技術、細分行業專用技術，打造自主可控的區塊鏈底層平臺。重點在區塊鏈通等領域開展關鍵核心技術攻關和融合應用，探索標準規范制定，推動區塊鏈等等新興平臺軟件創新應用，推動區塊鏈與數字經濟、民生服務、社會治理等領域深度融合。發展區塊鏈等新興數字產業，加快區塊鏈等技術手段在公共安全風險防控領域的融合與應用加強區塊鏈等信息技術在科技計劃管理中的應用，提高科技創新資源配置效率。[2021/10/13 20:26:45]

這個問題對NFT交易平臺方有點棘手：OS把訂單信息開放在了API中，公開透明，科學家可以通過API拿到訂單信息。所以上文中的這個NFT一旦回到A地址，就存在被立馬買走的風險。就算OS的功能立馬調整，不再展示1ETH的賣單信息，又或者是直接從數據庫刪除order信息，都解決不了這個問題。

CoinBene滿幣上線新版永續合約 合約交易深度全面提升:據官方公告，4月2日，CoinBene滿幣上線新版合約交易系統，在系統性能、流動性及產品體驗上均做了突破性優化。

?新版合約大幅提升了交易系統承載能力和吞吐量，有效降低交易延遲，并提高了同時接入用戶數，實現零卡頓的毫秒級交易體驗。

流動性方面，我們能夠看到CoinBene滿幣的BTC永續、 ETH永續等，盤口價差和深度均達到全網高水平，降低了用戶的交易滑點。

此外，本次升級還增加了更多簡單易用的便捷功能，USDT合約增加逐倉保證金模式，并增加開倉 設置止盈止損和閃電平倉功能，ETH、BCH、BSV永續合約增加100倍杠桿。

?CoinBene滿幣市場負責人表示，本次合約升級是最全面，耗費成本最高的一次，升級后的性能足以媲美一線合約交易平臺。CoinBene滿幣一直在完善產品機制、夯實技術實力方面進行持續投入，力求為用戶創造更好的交易體驗。[2020/4/2]

并且現在關閉API也解決不了這個問題，之前存量的掛單信息可以視為已經完全泄露。而且可以從OS界面用爬蟲爬出order信息。所以只要準備足夠充分，NFT再次回到A地址，黑客可以在任何地方以1ETH買走這個NFT。

當然平臺可以在用戶轉走NFT的時候提醒cancelorder，這個操作后將作廢掉之前掛單的簽名信息，但會上鏈消耗GASFee，掛單多次需取消多次。Opensea的撮合合約里也沒有一次取消多個order的方法，這是其他OS競品交易市場可以進行優化的功能。可以一鍵取消多個掛單，減少用戶操作，不過GASFee肯定是少不了的。

平臺提醒目前看來是一個比較簡單快速的方式，但是是用戶也可以在其他平臺直接轉走NFT。比如我在OS掛了個賣單，我也可以imToken、Looksrare、Mintverse等其他平臺直接轉走NFT。總結一下就是沒法保證NFT掛單簽名信息百分百和NFT轉移一起失效。這個問題對NFT交易平臺來說有點無解，不僅僅是OS，任何NFT交易平臺都一樣。除非是中心化的交易平臺，所以對平臺來說只能不斷的提醒引導用戶，提高用戶風險意識。

對用戶而言，如果知道這個漏洞后注意別再把NFT轉回到之前的地址就沒問題。不過這個行業用戶知識水平參差不齊，轉錯ERC20到合約地址的情況都時有發生，NFT這個問題個人覺得后面也會一直有。也有用戶在掛了賣單情況下去進行質押之類的操作，這種情況取回來只能到原地址。這種情況如果有價格差，肯定有被擼走的風險。如果有這種情況的用戶，可用先取消掉授權，再取回NFT。

2022肯定還會出現一大批NFT交易市場，數據完整性，實時性，準確性；產品安全性，可用性，穩定性；肯定會成為未來NFT交易市場的競爭點。用戶也需要提高安全意識，保管好自己寶貴的NFT。

Tags：NFT區塊鏈COIOINapenft幣太垃圾了區塊鏈域名價格排行coinwatch手表怎么調Meme Doge Coin

XRP