a16z：淺析NFT新騙術「Sleep Minting」的原理與預防_BOO

作為一個NFT收藏家，你應該關心鏈上的合約出處,NFT最真實的出處是直接從創造者的錢包或創造者擁有的智能合約中鑄造出來的。然而，通過一些小技巧，有人可以使用一種被稱為"SleepMinting"的技術來操縱NFT的創作者來源。

SleepMinting是指詐騙者直接將NFT鑄造到一個著名的創作者的錢包，并從創作者的錢包中回收NFT。這就造成了這樣的假象：(1)創作者自己真實地鑄造了一個NFT；(2)將該NFT發送給了一個騙子；基于"鏈上"的出處，騙子可以聲稱他們擁有一個著名創作者鑄造的NFT，并以更高的價值出售。這在技術上是如何運作的？首先，了解智能合約如何存儲NFT的出處和所有權是至關重要的。任何人都可以使用ERC-721標準中的ownerOf(tokenId)函數查詢NFT智能合約，以確定NFT的當前所有者是誰。你甚至可以通過改變eth_callRPC方法參數來查詢特定區塊編號的NFT所有者。然而，查看所有權變化的最簡單方法是查看ERC-721傳輸事件日志。我的a16zCrypto同事DarenMatsuoka在Twitter上寫了一篇關于事件日志和它們如何工作的精彩文章。轉移事件日志是由智能合約向外界發送的消息，包含關于NFT轉移的細節。轉移事件日志提供了一種有效的方式來檢查NFT的來源。

Web3公司ContentFi推出首個基于a16z Can't be Evil的NFT許可解決方案:12月27日消息，Web3 公司 ContentFi 推出首個基于 a16z Can't be Evil」Licenses 的 NFT 許可解決方案Can't Be Vil 許可工具包（CBE License Toolkit），旨在簡化 IP 許可流程，降低進入 NFT 生態系統的準入門檻，以開放方式獲得許可權限檢查、發布和展示 NFT，并且使用戶可以輕松指定對 NFT 項目的所有權。

此前報道，8月31日，a16z推出開源Can't be Evil NFT 許可，旨在推動 NFT 行業發展。[2022/12/28 22:11:23]

A16z首席法務官：分布式系統上的結算層不僅僅是一個信息通信層:金色財經報道，A16z首席法務官Jai Ramaswamy在第一天的會議“理性監管 Web3：千載難逢的機會”上發言稱，比特幣論文的原始見解指出，分布式系統上的結算層不僅僅是一個信息通信層，而是一個新穎的計算機科學概念。然而，它的含義遠不止金融，因為它允許在互聯網上創建可編程的分布式層。目前所遇到的問題是，當人們思考監管時，他們會以靜態的方式思考，而事實上，這是一個動態的概念。如果我們考慮一下今天的世界是如何被監管的。互聯網的協議層實際上是被監管的，但它們一般是由自我監管組織（SRO）監管的。而在一些自律組織之外，還有包括SEC、CFTC、FinCen等在內的監管機構，這兩類監管機構通常監管應用層。

我們今天遇到的部分問題是金融監管機構開始監管或認為他們正在監管這些基礎層或協議層，這是一個錯誤。因為監管機構和金融監管機構最沒有能力做出設計決策。行業需要仔細考慮如何通過標準制定機構的自我監管通過最佳實踐來監管基礎層。[2022/10/24 16:37:10]

SleepMinting的騙局

Paradigm、a16z等加密風投機構資產管理規模激增:4月5日消息，數據顯示，Web3和加密風投機構Paradigm的資產管理規模達132億美元，相比其2020年12月提交的財報中披露的29.8億美元增長343%。

商業記者Eric Newcomer研究了Web3和加密領域部分風投機構最近向美國SEC提交的投資顧問注冊申請文件。文件顯示，Andreessen Horowitz（a16z）總資產管理規模超過546億美元，相比之前披露的358億美元增長近53%，其中專注于加密貨幣的基金資產管理規模約為90億美元。

此外，紅杉資本（Sequoia Capita）資產管理規模達855億美元，此前披露的數據為807億美元。老虎環球（Tiger Global）資產管理規模達1247億美元，相比2021年披露的791億美元增長約58%。（Cointelegraph）[2022/4/5 14:05:05]

大眾認為，如果你發送交易來轉移NFT，那么你的地址應該在event中作為"from"字段。然而，當一個騙子從一個著名的創造者那里取回一個sleepingNFT時，情況就不是這樣了。騙子可以人為地將著名創作者的地址加上"from"字段。Sleepminting這是beeple的數百萬美元的作品"First5000Days"在rarible上出售。看看截圖，上面清楚地寫著"創造者：

鏈游《王國聯盟》完成300萬美元融資，A16z參投:12月17日消息，策略鏈游League of Kingdoms Arena（《王國聯盟》）宣布完成300萬美元種子輪融資，投資者包括Andreessen Horowitz (a16z Crypto), Binance Labs, 紅杉資本印度（Sequoia Capital India）, BlockTower Capital, 以及戰略投資者Sky Vision Capital, Yield Guild Games (YGG),和韓國區塊鏈生態創建者 DeSpread。這筆資金將用于為玩家擁有的《王國聯盟》治理和增強的世界中的“Play-to-Earn”經濟建立基礎設施，同時加速已擁有超過 200,000 名活躍游戲玩家的全球社區的發展。[2021/12/17 7:45:21]

A16z發布第三代全新互聯網政策議程:金色財經報道，10月13日消息，a16z發布第三代互聯網政策議程，該議程將成為a16z全新Web3 Policy Hub的動態文件，同時為政府、學術界、民間社會和私營部門的領導者提供更多資源并致力于為網絡未來建立一個共同愿景。?A16z表示，過去十年教會我們需要一個積極的戰略來塑造技術，并且在開放社會中發揮作用，在這種情況下，Web3將會帶來一波全新的創新浪潮，政策制定者和監管機構可以利用 Web3 提供的工具來構建互聯網，從而更好地為社會釋放更多機會、保護數據、并且解決關鍵問題。?A16z已經開始努力確保這個新議程能夠運作，在過去幾周時間已經向參議院領導層提交了一封信函，旨在解決目前基礎設施法案中稅收條款的挑戰，此外a16z還發布了一個政策框架，概述了穩定幣在促進金融包容性方面的作用，另外也與參議院銀行委員會的每位成員分享了四項立法提案，以鼓勵政策制定者考慮周到、具體的方案去監管去中心化技術。由于 Web3 的廣度和影響，定義開明的政策和監管戰略是一項重要任務，任何單個組織都無法自行解決。A16z認為，現在是時候開始建立一個更好的互聯網了。[2021/10/13 20:26:46]

但這是個騙局。它的創造者MonsieurPersonne，也自稱是NFTs的Banksy，故意用beeple的名字鑄造了這幅作品，他使用了一種叫做sleepminting的技術。那么他是如何做到的呢？基礎知識NFTs是使用ERC-721智能合約創建的,他們把NFTs的所有權記錄作為一個列表。一個地址和一個作品的序列號組成一個對。像這樣。Alice:1Booble:2Malory:3成交后，Alice可以通過以下方式將她的NFT轉讓給Booble。轉讓1：Alice==>Booble現在列表更新如下：Alice:Booble:2,1Malory:3在以太坊，我們用地址名字來識別，而且我們需要簽署轉賬來授權。但是在這篇文章提供的例子中，我將使用明確的名字來簡化解釋。現在，通常開發者以合理的方式實現ERC-721合約。Alice只有在她擁有一個NFT并能提供有效簽名的情況下才可以轉讓。ERC-721標準只是一個社會契約，它定義了一個允許藝術平臺互操作的接口。只要合同的接口與ERC-721合同的接口相匹配，任何機器都會認為它是有效的。但是，正如我們現在所看到的，這可能會導致以太坊上的NFTs出處出現安全問題，它是可以被篡改的。正如我所說，任何合理的ERC-721合約都會允許礦工只為自己造幣，并且只轉讓他們擁有的碎片。但是，假設我們定制了我們的ERC-721合約，使我們可以向其他賬戶鑄造。假設我們調整了轉讓功能，使我們的賬戶在某些情況下，也可以轉讓另一個人的NFT。那么，我們就可以建立一個允許我們sleepmint的合約。舉例：作為攻擊者Malory，我們給Booble鑄造一個序列號為1的作品。mint1:address(0)=>Booble(由Malory執行)現在我們的配對看起來如下：Alice:Booble:1Malory:然后，由于Malory已經調整了合同，將序列號為1的作品從Booble的賬戶轉移到任何其他賬戶，她可以在像rarible這樣的NFT平臺上提供出售。由于她從地址(0)到Booble的鑄幣為"創造者--Booble"被顯示出來。

一旦Malory成功詐騙了一個買家，她就會收到她的"Ethers"，并將假冒作品賣給買家。轉讓1：Booble=>買方。更新后的所有權記錄現在是這樣的。Alice:Booble:Malory:Buyer:1就這樣，Malory成功地篡改了NFT的創作出處記錄，以高于其價值的價格出售了她的作品。具體細節：仔細查看rarible和Etherscan的信息，我們會發現這更像是一個接口問題，而不是一個安全漏洞。沒有人能夠進入beeple的賬戶。另外，當仔細看一下交易記錄時，可以發現騙子的手法：偽造的mint交易偽造的轉賬交易

對于mint交易，我們可以看到Etherscan顯示兩個"From"字段。一個是msg.sender發送的交易，另一個是說明NFT的發件人。對于交易的發件人字段，即msg.sender，它不能被人為操縱，因為它需要發件人的私鑰的有效簽名。然而，對“TokensTransferred”的字段的授權受制于智能合約的漏洞，因此，可能會人為操縱。簡單地說，騙子可以對“TokensTransferred”字段進行任意修改。因此，我們必須檢查From和TokensTransferred是否都與beeple的正確地址相符。如果不是，那就是假的。這種攻擊它與"rugpull"類似，有人認為區塊鏈使web2問題都消失了，因為每一個數據都是經過認證和檢查授權的。但事實是，這些問題并沒有消失。它們只是轉移到了別的地方。

Tags：NFTQUOBOOBBOODNFT ProtocolQUONBooBanker Research AssociationBOOL價格

中幣下載