簡析NFT交易平臺的發展歷程及4F評估模型_FOR

原文標題：《盤點NFT交易的過去，現在和未來》

原文作者：Vivian

NFT聚合平臺如何促進行業發展？

早在2016-2018年，以OpenSea，MakersPlace，SuperRare為代表的第一批NFT交易市場橫空出世。在那時，有一部分交易平臺使用了邀請制，只有受邀的藝術家才可以進行創作和發行。而隨著市場的發展，有越來越多的NFT交易平臺進入大家的視野，這些平臺融入了更多金融的玩法和元素，包括NFTAMM市場，去中心化的市場，租借質押市場等。在文章中，我們將探索NFT交易平臺的發展歷程，以及如何用4F模型評估一個好的交易平臺。

發展歷程

在某種程度上，NFT交易平臺反映了NFT整個市場的熱點變遷，在2021年年初，通過社媒放大話語傳播和藝術家聚焦效應，諸如Beeple高價NFT作品拍賣成為市場熱點。在那個時候，NFT往往圍繞著藝術和藝術家，多數交易平臺只會挑選和邀請有一定名氣的創作者進駐創造1/1的藝術品。

安全公司：AurumNodePool合約遭受漏洞攻擊簡析:金色財經報道，據區塊鏈安全審計公司Beosin EagleEye監測顯示，2022年11月23日，AurumNodePool合約遭受漏洞攻擊。

Beosin分析發現由于漏洞合約的changeRewardPerNode函數未進行驗證，導致攻擊者可以調用該函數進行任意值設置。

攻擊者首先調用changeRewardPerNode函數將每日獎勵值設置成一個極大數，接下來調用claimNodeReward函數提取節點獎勵，而節點獎勵的計算取決于攻擊者設置的rewardPerDay值，導致計算的節點獎勵非常高。而在這一筆交易之前，攻擊者便通過一筆交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合約存入了1000AUR，創建了攻擊者的節點記錄，從而使得攻擊者能夠提取出該節點獎勵。最終攻擊者通過該漏洞獲得約50個BNB($14,538.04)。[2022/11/23 8:01:04]

NFT本身也有Banksy等街頭藝術家所代表的風格，重復粘貼的畫報，突出夸張的筆觸，迎面而來的文化沖擊，以及最重要的——個性，換句話說，identity。

Beosin：Skyward Finance項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，Near鏈上的Skyward Finance項目遭受漏洞攻擊，Beosin分析發現由于skyward.near合約的redeem_skyward函數沒有正確校驗token_account_ids參數，導致攻擊者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39傳入相同的token_account_id，并多次領取了WNear獎勵。本次攻擊導致項目損失了約108萬個Near，約320萬美元。Beosin Trace追蹤發現被盜金額已被攻擊者轉走。[2022/11/3 12:12:36]

雖然我們沒辦法在洛杉磯的街巷中涂滿整面墻壁，但我們可以將所認同的文化通過meme鋪向整個網絡。街角的涂鴉有可能第二天會被警察用白漆蓋住，而存儲在IPFS上的NFT，永遠都會在那里。

慢霧：GenomesDAO被黑簡析:據慢霧區hacktivist消息，MATIC上@GenomesDAO項目遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

因此，NFT便不停留在藝術的單品交易本身，而是以集合方式進行交易，meme漸漸成為社區，成為品牌。由此，我們可以看到，OpenSea遠遠超過了在16-18年同一時期的其他交易平臺。與此同時，由于NFT交易的火熱，也誕生了很多其他的交易市場。

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

但之后，NFT市場又有了新的演化。熱點下總會有機會，NFT市場也有從眾效應。FOMO,FUD等一系列圈內黑話應運而生。除了社區和傳播屬性，NFT同時也是一種資產。很多人發現了機會——通過拿白以及FlipNFT賺錢。因此，市場上出現了一系列數據分析工具，比如NFTGo.io,rarity.tools等。這些工具不僅為買賣NFT增加了一定的勝算，也創造了市場上新的范式和玩法。

Force DAO 代幣增發漏洞簡析:據慢霧區消息，DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現： 在用戶進行 deposit 操縱時，Force DAO 會為用戶鑄造 xFORCE 代幣，并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度，當用戶的授權額度不足時 transferFrom 函數返回 false，而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行，xFORCE 代幣被順利鑄造給用戶，但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法，但外部合約在對其進行調用時并未嚴格的判斷其返回值，最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查，以避免此問題的發生。[2021/4/4 19:45:30]

市場中用戶的需求變化也出現了變化，比如，如何在所有大大小小交易市場中找到最低的報價？如何選擇最有價值的NFT？NFT交易市場也從1.0的版本轉向了2.0——一個兼具數據分析和聚合交易的NFT平臺。

為何NFT聚合平臺至關重要

谷歌聚合了來自網站的內容，Facebook聚合了社交關系，DEX聚合了不同的流動性挖礦模型。聚合器不僅能夠幫助用戶更多捕獲區塊鏈時代的大部分價值，同時也是NFT生態系統不可或缺的一部分。

一般來說，NFT主要創建在以太坊、Flow和BSC等各種鏈上，每個鏈都有一個孤立的協議生態系統。同時，當前有各種各樣的交易市場出現。盡管這些市場提供了多樣化的NFT服務，但在交易和查找NFT信息時會帶來一定的挑戰，一方面，新來者可能不知道如何找到最好的市場，專業交易者可能希望找到最優的價格。另一方面，不同的市場有不同的界面，這也增加了用戶的學習成本。

想象一下，你想搜索市場上熱門NFT項目的最優報價，可能需要在不同的市場之間切換才能查看所有NFT。或者，如果您是投資者，想要查看NFT市場的所有最新數據和各種指標。由于NFT信息如此分散，可能需要幾分鐘才能獲取本應在幾秒鐘內找到的數據。

對于那些不熟悉NFT的人來說，他們經常花費大量時間搜索內容，但最終卻沒有任何有用的信息。因此，專業的NFT聚合器非常重要。

NFT聚合器是將各大鏈上的各類NFT交易信息集中到一個地方，為用戶節省時間，提高效率，從而實現更好的交易體驗。

通過NFTGo的「一站式」NFT聚合服務，用戶只需要打開一個網頁，就可以總覽NFT市場全貌，了解最新流行趨勢，查找，搜索和交易關于NFT的一切。

4F評估模型

衡量一個好的NFT交易市場有幾個方面，我們稱之為4F模型，分別是Fluency,Fees,FunctionandFinance。

Fluency是指交易和使用體驗的流暢度，是否可以一鍵購買想要的NFT，是否有清晰的交互界面和用戶邏輯，是否有可視化的功能。NFTGo.io擁有功能全面的搜索引擎，支持用戶使用元數據Metadata，甚至是自然語言進行NFT搜索。強大的搜索算法與排序邏輯，大大提高了用戶的搜集信息的效率，也豐富了搜索結果的呈現維度。同時，用戶可以批量掃地板，安全交易模式下能夠防止攻擊和浪費Gas費。

Function是指功能是否全面且切中需求。比如是否有Filter功能，可以讓用戶快速找到他們想要的trait和條件。同時，產品可以幫助用戶分析比較當前不同的交易平臺的報價，進而選擇一個最低的價格，并將想要購買的NFT一同添加到購物車中購買。用戶不僅可以看到各種交易平臺上的價格，找到最低報價。還可以批量購買NFT，同時能夠了解當下NFT數據或行情。

Fees是指交易費用，眾所周知，購買NFT時除了本身的價格，還有版稅和手續費。是否可以省去gas費，或是可以從多個市場獲取報價，從而用戶可以得到最優價格。

Finance是指收益回報。如果用戶希望成功FlipNFT，一般需要通過數據和熱度作出投資決定。在為用戶呈現最全面數據的同時，NFTGo.io也為用戶提供了便捷的數據分析工具。用戶不僅可以一覽當下最火熱的NFT項目和市場情況，還能夠輕松地比較各種NFT之間的差異，例如巨鯨持倉，持有人數分布等。值得一提的是，NFTGo還能夠自動檢測清洗交易，防止買到可疑NFT。

結語

綜上所述，NFT聚合平臺將NFT信息集中到一個地方，用戶可以優化他們的購買體驗。在不使用聚合器的情況下，用戶必須單獨訪問各個NFT交易所，注冊信息，查看每個交易所的各自的NFT。不管是對于希望入門NFT世界的愛好者，還是對于NFT領域的分析專家，NFT聚合交易將為用戶打開了一扇通往NFT未來的大門。

在未來，隨著Metaverse和鏈游的成熟和發展，將會出現更多游戲內的NFT，動態NFT，甚至可交互的NFT。數字資產交易或將成為人們的剛需，就像是我們日常在網上買賣商品一樣。與此同時，NFT金融化和衍生品市場的蓬勃增長也將促進交易平臺的持續演化。

Tags：NFTFORORCFORCEiNFTspaceForever BurnORCHGFORCE

KuCoin