木星链 木星链
Ctrl+D收藏木星链
首页 > NEAR > 正文

NFT:NFT 借贷平台 XCarnival 被盗3000 ETH 事件分析

作者:

时间:1900/1/1 0:00:00

NFT借贷平台@XCarnival_Lab大约7个小时之前被黑了,至少有3000个$ETH (约380万美元)被盗。下面是该事件的简要分析:

该NFT借贷平台的合约有个bug:作为抵押品的NFT在取出后,其orderID仍然可用,可以此申请贷款。

?xNFT, NFT管理器. https://etherscan.io/address/0xb14b3b9682990ccc16f52eb04146c3ceab01169……?

PUMA:将向Grailed PUMA Slipstream Mint Pass用户空投SuperPUMA NFT:4月28日消息,据官方推特,彪马(PUMA)发文表示此前其持有的2000枚未公开投放的稀有SuperPUMA NFT将会空投至“Grailed PUMA Slipstream”铸造通行证Mint Pass兑换用户。

据悉,Grailed PUMA Slipstream是Yuga Labs与彪马合作推出的实体运动鞋的NFT系列,用户必须持有PUMA Nitro、Gucci Grail或完成的Level 1/Level 2的10KTF才能获得Mint Pass白名单资格。[2023/4/28 14:32:35]

?P2Controller, 很多借贷限制条件的验证者.

Cardano Yoroi钱包推出v4.7.300桌面版本,NFT显示错误或于下周解决:9月23日消息,Cardano Yoroi钱包在推特上表示,现已推出v4.7.300桌面版本。移动版很快也会推出,更新包括:

- 资产选项卡(Assets tab)现在可以查看代币;

- 钱包内显示的NFT最低ADA存款价值;

- 交易/ UTXO结构优化。

此次更新意味着由于NFT而“卡住”钱包的用户现在应在满足钱包中显示的最低要求ADA后恢复到完整的功能。请注意,使用“Send All”功能时,NFTs数量异常多的用户仍然可能收到错误。这是由于可能的交易大小的限制。如果你遇到这种情况,只需将交易分割。官方表示,该问题可能要到下周才会得到解决。据悉,此前一些基于Cardano的NFT持有者报告了他们的数字收藏品在转移和可见性方面出现的各种问题。[2021/9/23 17:01:34]

黑客 https://etherscan.io/address/0xb7cbb4d43f1e08327a90b32a8417688c9d0b800a… 从Tornado中拿出了干坏事的启动资金. 然后在OpenSea上购买了 #BAYC 5110。

共识实验室任铮:NFT是区块链上有意义的资产:金色财经现场报道,4月23日,数御未来——2021数据与存储产业峰会在成都举办。在主题为《存储技术创新与发展》的圆桌中,共识实验室创始合伙人任铮表示,我们看到越来越多的人在布局分布式存储,也在购买Filecoin的矿机,同时有相关的布局。全球数据会指数级增长并留存到分布式存储中,IPFS低成本、链上数据公开透明等特点值得期待。NFT是区块链上有意义的资产,也期待有更多的音频、视频、艺术品等数据资产在IPFS上存储。[2021/4/23 20:51:49]

他部署了一个总控合约 0xf706…ca8d https://etherscan.io/address/0xf70f691d30ce23786cfb3a1522cfd76d159aca8d……, 该合约生成了很多用来当女巫用同一个NFT进行借贷的马仔合约,比如0x5338…3714 https://etherscan.io/address/0x53386a82e55202a74c6d83c7eede7a80ba553714…….

首先,总控将BAYC转给某个马仔(以0x5338为例)。马仔然后调用xNFT中的pledgeAndBorrow()函数(抵押并贷款),抵押品为BAYC,但什么也没贷(贷款为一个总控部署的假xToken合约,数量为0)。本步骤生成了一个orderID(43)。

本Tx中可以看到这些过程,不过只有internal transaction。如果想详细解读得自己深挖调用栈。马仔5338然后取出刚才抵押的NFT,并还给总控。总控再把NFT给别的马仔。如此左手倒右手循环,黑客搞出了几十个orderID,之后可作为借款凭证。而有bug的xNFT并没有在取出抵押物后撤销凭证orderID。

下一步,总控让所有马仔依次从xETH合约里借钱。攻击完成。黑客用空气借走了真金白银(NFT抵押品早就取出了)。这是其中一个tx。

上面的是大概过程。再来看下细节。在xNFT合约中,withdrawNFT()并咩有在取出后消除orderID。当P2controller调用getOrderDetail()时还是能取到这个ID。

在xETH中,borrow()会调用borrowInternal()然后调用controller.borrowAllowed() 来验证orderID是否有效。

标签:NFTPUMUMAETHSNFTS币FPUMP币kuma币前景Bitether

NEAR热门资讯
NFT:观点:市场降温或是让NFT应用走向台前的机会

随着NFT市场降温,需要注意到一个现实,即在市场上存在的各种数字资产中,NFT可能引起了最多的讨论和争议。NFT广受欢迎,受到各类有影响力人士的推崇,投资者很难忽视NFT的吸引力.

1900/1/1 0:00:00
NFT:NFT侵权第一案:Bigverse错在何处?

Bigverse是集数字艺术创新、元宇宙空间打造以及内容生态社区创建于一体的元宇宙品牌,支持数字藏品二次交易,是国内目前用户数量较大且发展较快的一个数字艺术电商平台.

1900/1/1 0:00:00
区块链:市场跌宕起伏 顶级银行仍在扩充加密投资版图

早在 2021 年 8 月,区块链分析公司 Blockdata 就向我们揭示了:在管理资产排名前 100 的顶级银行中,有 55 家直接或通过子公司间接投资了与加密货币和区块链相关的公司.

1900/1/1 0:00:00
区块链:金色早报 | 拜登政府准备推迟针对加密行业征税的计划

头条▌知情人士:拜登政府准备推迟针对加密行业征税的计划6月29日消息,据知情人士透露,美国政府针对加密行业征收数十亿美元税收的计划遇到了障碍.

1900/1/1 0:00:00
元宇宙:元宇宙场景应用探索报告(2022)

元宇宙,翻译自英文单词Metaverse。该词出现于1992年,由美国科幻小说家尼尔·斯蒂芬森创作的《雪崩》一书.

1900/1/1 0:00:00
区块链:金色趋势丨矿工投降 买入机会来了?

Puell Multiple是追踪矿工何时可能开始大规模抛售比特币以此来获利的过程,Puell Multiple是当前矿工收入和其365天平均之间的比率,该指标用于识别BTC的价格周期.

1900/1/1 0:00:00