比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > DOT > Info

NFT 借貸平臺 XCarnival 被盜3000 ETH 事件分析_ETH

Author:

Time:1900/1/1 0:00:00

NFT借貸平臺@XCarnival_Lab大約7個小時之前被黑了,至少有3000個$ETH (約380萬美元)被盜。下面是該事件的簡要分析:

該NFT借貸平臺的合約有個bug:作為抵押品的NFT在取出后,其orderID仍然可用,可以此申請貸款。

?xNFT, NFT管理器. https://etherscan.io/address/0xb14b3b9682990ccc16f52eb04146c3ceab01169……?

索尼申請可在不同游戲和平臺上使用的“NFT互通框架”專利:金色財經報道,電子巨頭索尼已申請NFT互通專利,或將部署全新NFT平臺,據悉該專利名為“用于在游戲平臺之間轉移和使用數字資產的NFT框架(NFT Framework For Transferring And Using Digital Assets Between Game Platforms)”,并且是在2022年9月提交的申請但直到昨日才被公開,專利內容顯示游戲玩家可以在不同平臺使用NFT,而且還可能跨平臺使用NFT資產,這意味著玩家可將NFT從一個游戲或系統轉移到另一個游戲或系統,而且還能將NFT交易或出售給其他玩家,而且還能支持通過數字分類賬驅動市場以公開價格向其他參與者后續銷售NFT。(psu)[2023/3/18 13:12:26]

?P2Controller, 很多借貸限制條件的驗證者.

匿名買家斥資 235 ETH在Gem平臺購買10枚MAYC系列NFT:金色財經消息,據 Etherscan 數據顯示,匿名買家(地址:0xf8c9cf133252a1a0b2c4b527381eaa94eaef62a6)通過 Gem平臺 以 235.33 ETH(約合 72 萬美元)購買了 10 枚 MAYC 系列 NFT。[2022/3/24 14:15:45]

黑客 https://etherscan.io/address/0xb7cbb4d43f1e08327a90b32a8417688c9d0b800a… 從Tornado中拿出了干壞事的啟動資金. 然后在OpenSea上購買了 #BAYC 5110。

數據:NFT二級市場交易額突破100億美元:10月6日消息,Messari數據顯示,NFT二級市場交易額突破100億美元,其中以太坊鏈上交易額超60億美元。[2021/10/6 20:08:56]

他部署了一個總控合約 0xf706…ca8d https://etherscan.io/address/0xf70f691d30ce23786cfb3a1522cfd76d159aca8d……, 該合約生成了很多用來當女巫用同一個NFT進行借貸的馬仔合約,比如0x5338…3714 https://etherscan.io/address/0x53386a82e55202a74c6d83c7eede7a80ba553714…….

首先,總控將BAYC轉給某個馬仔(以0x5338為例)。馬仔然后調用xNFT中的pledgeAndBorrow()函數(抵押并貸款),抵押品為BAYC,但什么也沒貸(貸款為一個總控部署的假xToken合約,數量為0)。本步驟生成了一個orderID(43)。

本Tx中可以看到這些過程,不過只有internal transaction。如果想詳細解讀得自己深挖調用棧。馬仔5338然后取出剛才抵押的NFT,并還給總控。總控再把NFT給別的馬仔。如此左手倒右手循環,黑客搞出了幾十個orderID,之后可作為借款憑證。而有bug的xNFT并沒有在取出抵押物后撤銷憑證orderID。

下一步,總控讓所有馬仔依次從xETH合約里借錢。攻擊完成。黑客用空氣借走了真金白銀(NFT抵押品早就取出了)。這是其中一個tx。

上面的是大概過程。再來看下細節。在xNFT合約中,withdrawNFT()并咩有在取出后消除orderID。當P2controller調用getOrderDetail()時還是能取到這個ID。

在xETH中,borrow()會調用borrowInternal()然后調用controller.borrowAllowed() 來驗證orderID是否有效。

Tags:NFTETHORDDERINFTshootouteth在中國合法嗎NordekDerivaDEX

DOT
美國國防機構報告:區塊鏈并不像你想象的那樣去中心化_比特幣

根據?Trail of Bits?的說法,分布式賬本技術?(DLT)?和包括比特幣和以太坊在內的區塊鏈可能比最初想象的更容易受到中心化風險的影響.

1900/1/1 0:00:00
DAO:Uniswap和SushiSwap對DAO未來發展的影響_SUSHI

在加密領域,我們有一對重量級對決——Uniswap vs SushiSwap。這些DeFi協議一開始的源代碼幾乎完全相同,但后來在各自社區的指導下不斷發展.

1900/1/1 0:00:00
文物遇上數字藏品 您怎么看?_ALS

基于文物IP資源的數字藏品,見證了文物和文化遺產在數字時代下更迭不休的強大生命力。數字藏品正在成為文博行業探索的新業態.

1900/1/1 0:00:00
多平臺“封堵”數字藏品二級交易_END

今年3月底,微信就曾封禁一批數字藏品平臺公眾號,涉及平臺超10個,均為中小型數字藏品平臺。彼時微信方面強調,后續將密切關注行業動向和相關規定,進一步完善與調整規則.

1900/1/1 0:00:00
閑談:3AC到底發生了什么?_INB

上周,3AC資本(Three Arrows Capital)崩潰,該基金一度擁有超過100億美元的資產管理規模,現在卻成為債務人.

1900/1/1 0:00:00
多鏈生態:我們的當前階段與未來格局_OSMO

作者:Jiawei,IOSG Ventures 1、引子 Composable Finance的創始人提出了跨鏈互操作性的五個發展階段:0-20%:實現最基本的跨鏈通信和鏈間代幣移動;20-50.

1900/1/1 0:00:00
ads