近日Opensea(OS)出現了多個低價成交的頭部項目,疑似掛單有bug被黑客攻擊,黑客通過低價買到頭部的NFT項目Bored Ape Yacht Club等等,再立馬高價售出,以此獲利數百ETH,以下為分析結果。
先看OS掛單邏輯:出售NFT時授權(授權完成以后OS的撮合合約可以調用用戶地址的這個NFT)--》確定價格--》簽名--》掛單完成。這時候簽名信息會保存在OS的中心化服務器,并且會有API對外開放。
正常交易流程中,買方購買完后這個訂單的簽名信息就作廢。
上海市新型產業規劃通知:推動區塊鏈等新興技術深度應用:上海市經濟和信息化委員會等部門發布關于印發《臨?港新片區創新型產業規劃》的通知:強化數字賦能,發展數據產業,探索建立安全高效的跨境數據流動機制,建設信息服務開放合作的“連接器”和“數字絲路”的樞紐口岸。推動數據產業新技術新應用。優先發展與新片區產業融合度高、國際合作性強的工業軟件、云計算、大數據、離岸信息服務等產業,增強信息技術創新能力,大力推進基礎軟件、行業應用軟件、信息安全軟件、區塊鏈、邊緣計算等的研發應用,支持高端化數據處理、數據分析、數據挖掘等數據增值服務。
以智能制造為引領,以主攻高端、精密提升、拓展服務、智能升級為重點,打造世界級智能制造產業中心。著力開展智能制造模式示范。推動5G、人工智能、區塊鏈等新興技術深度應用,在民用航空、汽車、海工、醫藥等領域試點示范智能制造新模式,加快建立以狀態感知、實時分析、自主決策、精準執行、學習提升為特征的智能制造系統,打響新片區“智能制造”品牌。(上海市經濟和信息化委員會官網)[2020/9/24]
“被攻擊”的情況中,用戶在地址A下掛了一個價格為1ETH的NFT賣單,這時候可能會再把NFT轉到地址B。后面NFT價格如果漲到了10ETH這個NFT再回到A地址,OS上這個NFT依然會以1ETH的掛單價出現(親測確實會出現,但是用戶可能不知道),這時候立馬會被人購買,賣家會遭受巨大的差價損失。而買方可以立馬轉手賣出賺取差價,下面黑客地址就是,低價買入三個Bored Ape Yacht Club并立馬賣出賺取了280ETH,約70萬美金。
繽果合約(BingoEx)與幣盈公社達成深度戰略合作:據官方消息,繽果合約(BingoEx)與幣盈公社達成深度戰略合作,并簽約成為繽果合約(BingEx)大中華區合約運營商,將享有全球市場運營、渠道商招募及全方面業務拓展等權益。雙方在合約市場展開全方位合作,將在用戶擴展、社區合作、品牌宣傳方面等進行合作,助力社區人員擁有最佳的合約體驗、建立線上社區以及線下運營中心,共同賦能行業發展。
據介紹,幣盈公社由多位幣圈操盤手組成,為散戶提供數字貨幣操盤指導。目前幣圈體系最完善的一個投教社區,涵蓋數據采集部門,市場分析部門,交易培訓部門。
繽果合約(BingoEx)隸屬于BingoEx Capital集團,在美國注冊成立的數字資產衍生品交易平臺。截至目前,累計注冊用戶已有42萬以上,系統采用多重底層安全技術,已與多家區塊鏈安全服務平臺達成合作。繽果合約(BingoEx)已正式開啟全球合伙人招募。[2020/7/3]
Qtum量子鏈帥初:去中心化交易比起中心化的交易系統的高頻、深度、流動性,差距很大:在近日的“三點鐘無眠區塊鏈”分享關于中心化交易系統,未來的發展方向的問題時,帥初表示,去中心化交易系統我研究的不多,談幾個具體的案例,最早出現的去中心化交易系統是基于mastercoin和counterparty的colorcoin對colorcoin的交易對,后面出現了基于NXT和BTS的去中心化交易系統,再后面出現了 etherdelta (基于智能合約的交易系統),從體驗上面來說,幾個去中心化的交易系統的體驗差不多,比起中心化的交易系統的高頻、深度、流動性,差距很大。關于去中心化交易系統中訂單的撮合和訂單的同步,這個可以找一些這方面的開發者,咨詢一下。[2018/2/22]
這個問題對NFT交易平臺方有點棘手:OS把訂單信息開放在了API中,公開透明,科學家可以通過API拿到訂單信息。所以上文中的這個NFT一旦回到A地址,就存在被立馬買走的風險。就算OS的功能立馬調整,不再展示1ETH的賣單信息,又或者是直接從數據庫刪除order信息,都解決不了這個問題。
并且現在關閉API也解決不了這個問題,之前存量的掛單信息可以視為已經完全泄露。而且可以從OS界面用爬蟲爬出order信息。所以只要準備足夠充分,NFT再次回到A地址,黑客可以在任何地方以1ETH買走這個NFT。
當然平臺可以在用戶轉走NFT的時候提醒cancel order,這個操作后將作廢掉之前掛單的簽名信息,但會上鏈消耗GAS Fee,掛單多次需取消多次。Opensea的撮合合約里也沒有一次取消多個order的方法,這是其他OS競品交易市場可以進行優化的功能。可以一鍵取消多個掛單,減少用戶操作,不過GAS Fee肯定是少不了的。
平臺提醒目前看來是一個比較簡單快速的方式,但是是用戶也可以在其他平臺直接轉走NFT。比如我在OS掛了個賣單,我也可以imToken、Looksrare、Mintverse等其他平臺直接轉走NFT。總結一下就是沒法保證NFT掛單簽名信息百分百和NFT轉移一起失效。這個問題對NFT交易平臺來說有點無解,不僅僅是OS,任何NFT交易平臺都一樣。除非是中心化的交易平臺,所以對平臺來說只能不斷的提醒引導用戶,提高用戶風險意識。
對用戶而言,如果知道這個漏洞后注意別再把NFT轉回到之前的地址就沒問題。不過這個行業用戶知識水平參差不齊,轉錯ERC20到合約地址的情況都時有發生,NFT這個問題個人覺得后面也會一直有。也有用戶在掛了賣單情況下去進行質押之類的操作,這種情況取回來只能到原地址。這種情況如果有價格差,肯定有被擼走的風險。如果有這種情況的用戶,可用先取消掉授權,再取回NFT。
2022肯定還會出現一大批NFT交易市場,數據完整性,實時性,準確性;產品安全性,可用性,穩定性;肯定會成為未來NFT交易市場的競爭點。用戶也需要提高安全意識,保管好自己寶貴的NFT。
Tags:NFTETHINGBINSBLAND Vault (NFTX)Bitcoin and Ethereum Standard TokenethnographyofspeakingBINGO
2021年底,一個DAO--一個去中心化的自治組織--花費400萬美元購買了Wu-Tang Clan專輯的唯一現存副本.
1900/1/1 0:00:002021年區塊鏈行業可謂欣欣向榮。根據CoinMarketCap的記錄,2021年數字貨幣市場的總市值從1月1日的7557.40億美元擴大至12月31日的22486.68億美元,全年漲幅高達19.
1900/1/1 0:00:00到2022年,還假裝不知道元宇宙,不太符合現實,來了解一下行業動態,人才需求吧。 大廠的新動作 最近,微軟宣布史上最大一筆收購,用約4373億人民幣收購游戲大廠暴雪,這還是現金收購,這幾乎是騰訊.
1900/1/1 0:00:00頭條 ▌美國財政部:2022年將重新考慮非托管錢包監管規則金色財經報道,1月30日,據beincrypto消息,根據美國財政部披露的半年度議程和監管計劃.
1900/1/1 0:00:00頭條 ▌俄羅斯總統普京:俄羅斯在加密采礦方面有一些優勢1月26日,俄羅斯總統普京與政府在會議上討論加密監管,普京表示,俄羅斯在加密采礦方面有一些優勢.
1900/1/1 0:00:00金色財經報道,1月26日,為致敬中國航天事業及中國航天人,騰訊新聞、科技日報聯合中國航天神舟傳媒發起了“2022,太空尋寶”活動.
1900/1/1 0:00:00