NFT:深度解析Opensea挂单“漏洞” 公开订单被黑客盯梢

近日Opensea出现了多个低价成交的头部项目，疑似挂单有bug被黑客攻击，黑客通过低价买到头部的NFT项目BoredApeYachtClub等等，再立马高价售出，以此获利数百ETH，以下为分析结果。

先看OS挂单逻辑：出售NFT时授权--》确定价格--》签名--》挂单完成。这时候签名信息会保存在OS的中心化服务器，并且会有API对外开放。

正常交易流程中，买方购买完后这个订单的签名信息就作废。

“被攻击”的情况中，用户在地址A下挂了一个价格为1ETH的NFT卖单，这时候可能会再把NFT转到地址B。后面NFT价格如果涨到了10ETH这个NFT再回到A地址，OS上这个NFT依然会以1ETH的挂单价出现，这时候立马会被人购买，卖家会遭受巨大的差价损失。而买方可以立马转手卖出赚取差价，下面黑客地址就是，低价买入三个BoredApeYachtClub并立马卖出赚取了280ETH，约70万美金。

摩根士丹利CEO：未来经济衰退的可能性为50%，不太可能陷入深度或长期衰退:金色财经消息，摩根士丹利首席执行官James Gorman周一在纽约的金融会议上表示，随着美联储与通胀作斗争，经济衰退的可能性为50%，这高于他早些时候30%的预估，我们现阶段不太可能陷入深度或长期衰退，我不认为未来几年我们会陷入巨大的困境，我认为美联储最终会控制住通胀。你知道这会很坎坷；人们的401(k)计划今年将会减少。

James Gorman认为，尽管市场一直在崩盘，但包括消费者和企业资产负债表在内的经济基本面状况比市场所暗示的要好。不过Gorman表示，美联储加息等待的时间太长，如果经济衰退开始，美联储的回旋余地就会变小。[2022/6/14 4:24:01]

火币于佳宁：必须加快区块链与人工智能等前沿信息技术深度融合:中国通信工业协会区块链专委会轮值主席、火币大学校长于佳宁表示，区块链和隐私计算相辅相成，可以更好地挖掘分布式场景下数据要素的价值。未来，在“区块链+隐私计算”所搭建的生态里，每个人可以真正拥有自己的数据控制权，可以利用自己的“数字身份”安全存储数据，同时在使用某个业务时做“选择性披露”，从而进行可信安全的社会活动，并真正释放数据价值。于佳宁强调，在数字时代，要构建完整的数字产业生态，必须加快区块链和人工智能、大数据、物联网等前沿信息技术的深度融合，推动集成创新和融合应用，加快构建新型基础设施，助力百行千业全面转型升级，加速实现产业全面上链，推动数字经济与实体经济深度融合，从而整体驱动生产方式、生活方式和治理方式变革。”（证券日报）[2021/3/26 19:19:09]

这个问题对NFT交易平台方有点棘手：OS把订单信息开放在了API中，公开透明，科学家可以通过API拿到订单信息。所以上文中的这个NFT一旦回到A地址，就存在被立马买走的风险。就算OS的功能立马调整，不再展示1ETH的卖单信息，又或者是直接从数据库删除order信息，都解决不了这个问题。

MXC抹茶与Solana生态达成深度合作，支持Solana生态发展:据官方消息，3月3日，MXC抹茶正式与Solana生态达成深度合作，支持其生态发展，MXC抹茶将支持Solana链上USDC-SPL充值与提现等操作，还将基于USDC交易上线资产，拓展全球用户。

Solana是一种单链委托权益证明协议，由高通、英特尔和Dropbox的前工程师创建，目前已达50,000TPS，单笔交易成本为0.00001美元。[2021/3/3 18:10:41]

并且现在关闭API也解决不了这个问题，之前存量的挂单信息可以视为已经完全泄露。而且可以从OS界面用爬虫爬出order信息。所以只要准备足够充分，NFT再次回到A地址，黑客可以在任何地方以1ETH买走这个NFT。

当然平台可以在用户转走NFT的时候提醒cancelorder，这个操作后将作废掉之前挂单的签名信息，但会上链消耗GASFee，挂单多次需取消多次。Opensea的撮合合约里也没有一次取消多个order的方法，这是其他OS竞品交易市场可以进行优化的功能。可以一键取消多个挂单，减少用户操作，不过GASFee肯定是少不了的。

平台提醒目前看来是一个比较简单快速的方式，但是是用户也可以在其他平台直接转走NFT。比如我在OS挂了个卖单，我也可以imToken、Looksrare、Mintverse等其他平台直接转走NFT。总结一下就是没法保证NFT挂单签名信息百分百和NFT转移一起失效。这个问题对NFT交易平台来说有点无解，不仅仅是OS，任何NFT交易平台都一样。除非是中心化的交易平台，所以对平台来说只能不断的提醒引导用户，提高用户风险意识。

对用户而言，如果知道这个漏洞后注意别再把NFT转回到之前的地址就没问题。不过这个行业用户知识水平参差不齐，转错ERC20到合约地址的情况都时有发生，NFT这个问题个人觉得后面也会一直有。也有用户在挂了卖单情况下去进行质押之类的操作，这种情况取回来只能到原地址。这种情况如果有价格差，肯定有被撸走的风险。如果有这种情况的用户，可用先取消掉授权，再取回NFT。

2022肯定还会出现一大批NFT交易市场，数据完整性，实时性，准确性；产品安全性，可用性，稳定性；肯定会成为未来NFT交易市场的竞争点。用户也需要提高安全意识，保管好自己宝贵的NFT。

标签：NFTETHOLA区块链PNFT价格PETHInverse Bitcoin Volatility Index Token区块链dapp开发教程

LTC热门资讯