深度解析Opensea掛單“漏洞” 公開訂單被黑客盯梢_TPS

近日Opensea出現了多個低價成交的頭部項目，疑似掛單有bug被黑客攻擊，黑客通過低價買到頭部的NFT項目BoredApeYachtClub等等，再立馬高價售出，以此獲利數百ETH，以下為分析結果。

先看OS掛單邏輯：出售NFT時授權--》確定價格--》簽名--》掛單完成。這時候簽名信息會保存在OS的中心化服務器，并且會有API對外開放。

正常交易流程中，買方購買完后這個訂單的簽名信息就作廢。

“被攻擊”的情況中，用戶在地址A下掛了一個價格為1ETH的NFT賣單，這時候可能會再把NFT轉到地址B。后面NFT價格如果漲到了10ETH這個NFT再回到A地址，OS上這個NFT依然會以1ETH的掛單價出現，這時候立馬會被人購買，賣家會遭受巨大的差價損失。而買方可以立馬轉手賣出賺取差價，下面黑客地址就是，低價買入三個BoredApeYachtClub并立馬賣出賺取了280ETH，約70萬美金。

江卓爾：去中心化網絡硬件能支撐的TPS不夠，因此DEX深度不足&滑點損失問題無法避免:江卓爾發微博表示，1、為什么uniswap上的成交量越來越低了？本質上還是去中心化網絡硬件能支撐的TPS（每秒交易次數）不夠，因此Dex（去中心化交易所）深度不足&滑點損失問題無法避免。

2、世界上最重要的就是守恒定理，損失不可能憑空消失。AMM做市商（流動性挖礦）只是把用戶的滑點損失，轉化為農民的無常損失，因此又必須給農民發交易所“股權 / 代幣 / 分紅”，進而形成了一波龐氏資金盤。

3、但當龐氏破滅時，Dex還是不可能解決TPS不足的致命問題，因此Dex只能作為Cex（中心化交易所）的補充，去填補無法在Cex上幣的大量代幣的長尾市場。

4、在互聯網絡基礎硬件TPS再提升100倍之前，Dex不可能挑戰，更不用說取代Cex，這才是真相。

5、但注意把Dex和DeFi（去中心化金融）區分開來。DeFi有前途的賽道，是那些既需要去中心化，又對TPS要求不高的賽道，例如抵押借貸。

你讓一個交易員掛單一次付1元主鏈手續費，撤單一次再付1元，他肯定受不了，但讓一個抵押借貸者付1元主鏈手續費，那是完全可以接受的。并且去中心化可以解決抵押借貸商家跑路的風險，這是絕對的剛需。[2020/10/25]

安徽省委書記李錦斌：推動區塊鏈和實體經濟深度融合:6月13日上午，安徽省委書記李錦斌赴科大訊飛公司調研并主持召開加快新一代人工智能產業發展與推進中國聲谷建設座談會。李錦斌強調，圍繞產業鏈部署創新鏈、圍繞創新鏈布局產業鏈，推動互聯網、大數據、區塊鏈、人工智能和實體經濟深度融合，積極構建具有優勢特色的平臺基地，加快構建“龍頭帶動+園區集聚+技術支撐+政策保障”人工智能產業發展格局，拉動內需、開拓市場，培育壯大具有國際競爭力的人工智能企業和產業集群，引領創新型現代產業體系建設，奮力推動安徽經濟高質量發展。（安徽日報）[2020/6/14]

這個問題對NFT交易平臺方有點棘手：OS把訂單信息開放在了API中，公開透明，科學家可以通過API拿到訂單信息。所以上文中的這個NFT一旦回到A地址，就存在被立馬買走的風險。就算OS的功能立馬調整，不再展示1ETH的賣單信息，又或者是直接從數據庫刪除order信息，都解決不了這個問題。

聲音 | Nick Szabo：比特幣利用計算機科學實現了前所未有的深度安全:智能合約先驅尼克·薩博（Nick Szabo）發推稱：“數字中心化資產的深層安全性較差，它們只能在一個合法穩定的環境中被設計及使用。當地方安全性較強時，房地產和黃金具有更深層次的安全性。信任最小化的比特幣利用計算機科學實現了前所未有的深度安全。”[2019/8/18]

并且現在關閉API也解決不了這個問題，之前存量的掛單信息可以視為已經完全泄露。而且可以從OS界面用爬蟲爬出order信息。所以只要準備足夠充分，NFT再次回到A地址，黑客可以在任何地方以1ETH買走這個NFT。

當然平臺可以在用戶轉走NFT的時候提醒cancelorder，這個操作后將作廢掉之前掛單的簽名信息，但會上鏈消耗GASFee，掛單多次需取消多次。Opensea的撮合合約里也沒有一次取消多個order的方法，這是其他OS競品交易市場可以進行優化的功能。可以一鍵取消多個掛單，減少用戶操作，不過GASFee肯定是少不了的。

平臺提醒目前看來是一個比較簡單快速的方式，但是是用戶也可以在其他平臺直接轉走NFT。比如我在OS掛了個賣單，我也可以imToken、Looksrare、Mintverse等其他平臺直接轉走NFT。總結一下就是沒法保證NFT掛單簽名信息百分百和NFT轉移一起失效。這個問題對NFT交易平臺來說有點無解，不僅僅是OS，任何NFT交易平臺都一樣。除非是中心化的交易平臺，所以對平臺來說只能不斷的提醒引導用戶，提高用戶風險意識。

對用戶而言，如果知道這個漏洞后注意別再把NFT轉回到之前的地址就沒問題。不過這個行業用戶知識水平參差不齊，轉錯ERC20到合約地址的情況都時有發生，NFT這個問題個人覺得后面也會一直有。也有用戶在掛了賣單情況下去進行質押之類的操作，這種情況取回來只能到原地址。這種情況如果有價格差，肯定有被擼走的風險。如果有這種情況的用戶，可用先取消掉授權，再取回NFT。

2022肯定還會出現一大批NFT交易市場，數據完整性，實時性，準確性；產品安全性，可用性，穩定性；肯定會成為未來NFT交易市場的競爭點。用戶也需要提高安全意識，保管好自己寶貴的NFT。

Tags：NFTETHDEXTPSChainlink NFT Vault (NFTX)PumpETHDEXTF幣tps幣圈

USDT