木星链 木星链
Ctrl+D收藏木星链
首页 > 区块链 > 正文

NFT:深度解析Opensea挂单“漏洞” 公开订单被黑客盯梢

作者:

时间:1900/1/1 0:00:00

近日Opensea出现了多个低价成交的头部项目,疑似挂单有bug被黑客攻击,黑客通过低价买到头部的NFT项目BoredApeYachtClub等等,再立马高价售出,以此获利数百ETH,以下为分析结果。

先看OS挂单逻辑:出售NFT时授权--》确定价格--》签名--》挂单完成。这时候签名信息会保存在OS的中心化服务器,并且会有API对外开放。

正常交易流程中,买方购买完后这个订单的签名信息就作废。

“被攻击”的情况中,用户在地址A下挂了一个价格为1ETH的NFT卖单,这时候可能会再把NFT转到地址B。后面NFT价格如果涨到了10ETH这个NFT再回到A地址,OS上这个NFT依然会以1ETH的挂单价出现,这时候立马会被人购买,卖家会遭受巨大的差价损失。而买方可以立马转手卖出赚取差价,下面黑客地址就是,低价买入三个BoredApeYachtClub并立马卖出赚取了280ETH,约70万美金。

Wormhole赢得治理投票,成为Uniswap和BNB Chain间的跨链桥:2月1日消息,在1月27日至1月31日间的社区治理投票中,Wormhole赢得投票,成为Uniswap和BNB Chain间的跨链桥。期间共有8000个地址参与投票,涉及治理通证UNI 4500万枚。Wormhole获得62%的支持,LayerZero以37%的支持率位列第二。Wormhole最终将用于为BNB Chain上的Uniswap v3用户提供参与Uniswap DAO基于以太坊治理流程的能力。Uniswap将在其业务源许可证于4月1日到期前部署至BNB Chain。一旦许可证到期,Uniswap代码可以被复制并应用到竞争项目。

此前,LayerZero曾被质疑代码中存在后门。Wormhole也曾在2022年2月遭受过3.25亿美元攻击,最终资金由主要支持者Jump Crypto偿还给用户。(Coindesk)[2023/2/1 11:40:08]

灰度对Stellar、Zcash和Horizen加密信托的法律立场有所转变:金色财经报道,灰度公司(Grayscale)一直在接受美国证券交易委员会(SEC)的质询,涉及该公司对其一些加密货币信托代币的“证券法律分析”。灰度公司在6月和8月中旬提交的文件中披露了SEC的质询。披露出现在包括Stellar(XLM)、Zcash(ZEC)和Horizen(ZEN)加密货币的信托文件中。

Grayscale表示,它正在“回应”美国证券交易委员会公司财务监管部和调查执行部门的工作人员,它们最近对加密货币进行了加倍的监督调查。

8月份,Grayscale首次承认ZEC、ZEN和XLM目前可能是一种证券。这是对其5月和6月立场的重大转变。(CoinDesk)[2022/8/28 12:53:33]

这个问题对NFT交易平台方有点棘手:OS把订单信息开放在了API中,公开透明,科学家可以通过API拿到订单信息。所以上文中的这个NFT一旦回到A地址,就存在被立马买走的风险。就算OS的功能立马调整,不再展示1ETH的卖单信息,又或者是直接从数据库删除order信息,都解决不了这个问题。

XRP 被高盛、富国银行和汇丰银行归类为“数字货币”:金色财经报道,近期,美国地方法官 Sarah Netburn 批准了 Ripple 的请求,即向视频托管平台提供非党派传票,以验证美国证券交易委员会高级官员发表演讲的一些视频。XRP 社区认为,除了视频之外,一些将 XRP 列为非安全性的出版物可能会在某种程度上有所帮助。是汇丰银行在 DLT 技术上提到的 Ripple,指出:DLT可以简化端到端的价值转移,降低成本、运营风险和结算周期。例如,Ripple 的 XRP 账本提供实时跨边境结算,使用代表中央银行货币的代币。

此外,在一篇专栏文章中,Ripple总法律顾问Stuart Alderoty在一次监督听证会上提到了众议员Sherman的言论,在听证会上他将 XRP称为安全。Alderoty称,美国证券交易委员会不是通过制定规则提供监管清晰度,而是通过提出或威胁提出执法案件来欺负市场。[2022/8/16 12:28:54]

并且现在关闭API也解决不了这个问题,之前存量的挂单信息可以视为已经完全泄露。而且可以从OS界面用爬虫爬出order信息。所以只要准备足够充分,NFT再次回到A地址,黑客可以在任何地方以1ETH买走这个NFT。

当然平台可以在用户转走NFT的时候提醒cancelorder,这个操作后将作废掉之前挂单的签名信息,但会上链消耗GASFee,挂单多次需取消多次。Opensea的撮合合约里也没有一次取消多个order的方法,这是其他OS竞品交易市场可以进行优化的功能。可以一键取消多个挂单,减少用户操作,不过GASFee肯定是少不了的。

平台提醒目前看来是一个比较简单快速的方式,但是是用户也可以在其他平台直接转走NFT。比如我在OS挂了个卖单,我也可以imToken、Looksrare、Mintverse等其他平台直接转走NFT。总结一下就是没法保证NFT挂单签名信息百分百和NFT转移一起失效。这个问题对NFT交易平台来说有点无解,不仅仅是OS,任何NFT交易平台都一样。除非是中心化的交易平台,所以对平台来说只能不断的提醒引导用户,提高用户风险意识。

对用户而言,如果知道这个漏洞后注意别再把NFT转回到之前的地址就没问题。不过这个行业用户知识水平参差不齐,转错ERC20到合约地址的情况都时有发生,NFT这个问题个人觉得后面也会一直有。也有用户在挂了卖单情况下去进行质押之类的操作,这种情况取回来只能到原地址。这种情况如果有价格差,肯定有被撸走的风险。如果有这种情况的用户,可用先取消掉授权,再取回NFT。

2022肯定还会出现一大批NFT交易市场,数据完整性,实时性,准确性;产品安全性,可用性,稳定性;肯定会成为未来NFT交易市场的竞争点。用户也需要提高安全意识,保管好自己宝贵的NFT。

来源:金色财经

标签:NFTETHUNISWAPNFT币XETH价格Unicorn MilkNSWAP

区块链热门资讯
MET:Multicoin Capital:为什么我们要领投 Metaplex?

原文标题:《TheComposableNFTStandard》作者:ShayonSengupta编译:胡韬,链捕手今天,我们很高兴地宣布.

1900/1/1 0:00:00
WEB:随着元宇宙和Web3时代的到来,什么样的公司会脱颖而出?

最近在全球创投圈和科技圈有两个词特别火,一个是2021年年度热词“元宇宙”,另一个是被津津乐道多年的“Web3”,可以说这两个词语占据了最近远在硅谷的热门关注榜,当然.

1900/1/1 0:00:00
元宇宙:上海政协陈睿谈元宇宙 建议用好上海数交所平台

1月21日,陈睿在上海市政协十三届五次会议上谈论了元宇宙,建议用好上海数交所平台。夺先机,抢高地陈睿认为元宇宙并不是一个产品,其实是一个产业概念,需要融合多种产品技术以及一系列创新.

1900/1/1 0:00:00
TOK:a16z分析师:Web3的可组合性成就了加密猫、Axie Infinity等链游

web3独有的核心价值是可组合性:获取由一种协议生成的资产或数据并与另一种协议一起使用的能力。在web3游戏中,可组合性解锁了一些强大的东西——玩家第一次可以参与指导游戏本身的机制和价值.

1900/1/1 0:00:00
比特币:BitMEX 创始人:残酷的跌落并未打破牛市的灵魂

作者:ArthurHayes原文标题:《Bottomless》编译:吴卓铖三周前,我写了一篇名为《混乱局面》(Maelstrom)的文章,在文中.

1900/1/1 0:00:00
DAO:采访实录:2022年,加密大佬们都会关注什么?

撰文:MarioGabriele翻译:Blockunicorn原标题:《2022年在加密货币中需要关注什么?》?以下是投资者、运营商和创始人在2022年应该了解的最令人兴奋的加密货币趋势:1)主.

1900/1/1 0:00:00