ABU:简析 Blur、Element、Gem 等 NFT 交易平台竞争优势差异

作者：dily_xz

看到那么多无脑吹Blur的服了，APT空投吹APT，Blur空投吹Blur

今天仔细研究了一下他们产品，写个总结记录一下，顺便横向对比一下其他交易市场，先上结论：

满足极少用户的产品，而且目前跨链交易的Gas费控制极差，不建议使用。

1）为了方便阐述我的想法，画了一张图方便解释，顺便也整理一下思路简单来说，NFT交易用户可以分三部分：NFT小白用户、普通用户、专业人士。

2）人数最多的的用户，他们对钱包原理不是特别清楚，也没有太高的安全意识，还按照Web2的习惯看待NFT产品所以针对这些用户有好多产品，比如币安的NFT交易所、TP，不安全，但是方便啊但是目前这些用户是最多的，但是还没有哪个平台完全满足这些人的需求，简单、安全、方便

Beosin：BSC链上的gala.games项目遭受攻击事件简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，BSC链上的gala.games项目遭受攻击，Beosin分析发现由于pNetwork项目的bridge配置错误导致pTokens（GALA） 代币增发，累计增发55,628,400,000枚pTokens（GALA），攻击者已经把部分pTokens(GALA) 兑换成12,976个BNB，攻击者（0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1）累计获利约434万美元。Beosin Trace追踪发现被盗金额还存在攻击者地址中。

第一笔攻击交易：0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e

第二笔攻击交易：0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d[2022/11/4 12:17:00]

3）其实目前市场的核心力量在腰部用户，也就是普通用户他们已经可以熟练的使用钱包了，而且对各种钓鱼方式也比较注意，各个Web3产品也如数家珍这个市场也是目前厮杀比较激烈的区域，包括龙头Opensea、Element、X2Y2、Looks等平台。

Beosin：Skyward Finance项目遭受攻击事件简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，Near链上的Skyward Finance项目遭受漏洞攻击，Beosin分析发现由于skyward.near合约的redeem_skyward函数没有正确校验token_account_ids参数，导致攻击者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39传入相同的token_account_id，并多次领取了WNear奖励。本次攻击导致项目损失了约108万个Near，约320万美元。Beosin Trace追踪发现被盗金额已被攻击者转走。[2022/11/3 12:12:36]

4）还有就是提到Blur，他是一些专业人士需要的平台，追求原教旨主义、专业的交易平台、注重交易成本之前这个领域一直是Gem和Genie的区域，现在Element也支持聚合交易，可以满足跨市场扫货的需求，Gas费用还便宜现在Blur是比这几家还要极致，做的更加的专业化和细分

慢雾：GenomesDAO被黑简析:据慢雾区hacktivist消息，MATIC上@GenomesDAO项目遭受黑客攻击，导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制，攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。

2.随后攻击者通过stake函数进行虚假LP代币的抵押操作，以获得大量的LPSTAKING抵押凭证。

3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币，随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。

4.最后将LP发送至DEX中移除流动性获利。

本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]

5）但是越往上用户是越少的，也就是说Blur的目标人群极少，会比Gem和Genie还少这是最大的问题，他的天花板太低了，甚至就是个地板的用户量还有他的UI，因为他大量的使用了像素风格，像素风格喜欢的人很喜欢，不喜欢的人是真不习惯，大多数人知道像素风么

慢雾：Avalanche链上Zabu Finance被黑简析:据慢雾区情报，9月12日，Avalanche上Zabu Finance项目遭受闪电贷攻击，慢雾安全团队进行分析后以简讯的形式分享给大家参考：

1.攻击者首先创建两个攻击合约，随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币，并将获得的SPORE代币抵押至ZABUFarm合约中，为后续获取ZABU代币奖励做准备。

2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币，随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取)，而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量，而不是记录合约实际收到的代币数量，但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。

3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷，从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的，因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。

4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励，随后便对ZABU代币进行了抛售。

此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的，此类问题导致的攻击已经发生的多起，慢雾安全团队建议：项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化，而不是依赖于用户传入的抵押代币数量。[2021/9/12 23:19:21]

6）还有就是他的设计理念，不太在乎普通人的感受，我虽然买了很多NFT但是自认算是普通交易者我没有找到关于合集的信息，包括Twitter、官网等信息，更不用说基础的数据分析了。这就把太多人挡在门外了。

7）我针对单个NFT分别测试了Element、Opensea、Blur的Gas费用Element：4.63Element：5.14Opensea：5.07Blur：10.5因为大部分都是聚合Opensea的，所以Opensea最便宜，但是Element自有更便宜。

8）大家经常使用的是聚合，Element因为是聚合了Opensea所以肯定会比Opensea高一点。但是，但是BlurGas居然高达10.5u，我当时就蒙了……最后才发现是他的业务逻辑太复杂了，Gas费用飙升，但是只是聚合交易而已你在做什么呢？当然除了单个的我还做了批量扫货的聚合交易测试。

9）针对5个NFT批量测试了Element、Opensea、Blur的Gas费用Element：22.33Element：17.77Opensea：15.59Blur：56.38太贵了，虽然只是预估价格，我还专门买了NFT测试，结果也是是真贵，他的聚合合约逻辑太复杂了。

10）大家也在找各自的定位，但是Blur目前的定位非常不看好而且真正的专业交易者会直接调用OpenseaAPI不会经过他的合约再来一道，便宜、快、安全。

目前关注Opensea的求新求变，Element和X2Y2根据社区用户的产品迭代。以上，供大家参考。

标签：ABUENSSPOSPORESHIBSHABU价格ConsensusPokerSportsSpores

DOGE热门资讯