比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > FIL幣 > Info

NFT:深度解析Opensea掛單“漏洞” 公開訂單被黑客盯梢

Author:

Time:1900/1/1 0:00:00

近日Opensea出現了多個低價成交的頭部項目,疑似掛單有bug被黑客攻擊,黑客通過低價買到頭部的NFT項目BoredApeYachtClub等等,再立馬高價售出,以此獲利數百ETH,以下為分析結果。

先看OS掛單邏輯:出售NFT時授權--》確定價格--》簽名--》掛單完成。這時候簽名信息會保存在OS的中心化服務器,并且會有API對外開放。

正常交易流程中,買方購買完后這個訂單的簽名信息就作廢。

“被攻擊”的情況中,用戶在地址A下掛了一個價格為1ETH的NFT賣單,這時候可能會再把NFT轉到地址B。后面NFT價格如果漲到了10ETH這個NFT再回到A地址,OS上這個NFT依然會以1ETH的掛單價出現,這時候立馬會被人購買,賣家會遭受巨大的差價損失。而買方可以立馬轉手賣出賺取差價,下面黑客地址就是,低價買入三個BoredApeYachtClub并立馬賣出賺取了280ETH,約70萬美金。

基于以太坊網絡的NFT市場Gas消耗量降至兩年低點:8月9日消息,基于以太坊網絡的NFT市場Gas消耗量正在大幅減少,降至2021年6月的水平。具體來說,OpenSea、Blur、LooksRare、Rarible和SuperRare上的交易活動目前約占以太坊網絡總Gas消耗量的1.85%。

這一數字相較于2022年1月9日的前高點顯著下降,當時僅OpenSea上的NFT交易就占以太坊總Gas消耗量的28.69%。[2023/8/9 16:16:04]

AzukiDao的治理代幣合約受到攻擊,兩名攻擊者已獲利35枚ETH:7月3日消息,MetaSleuth發推稱,AzukiDao的治理代幣合約因存在漏洞受到攻擊,已有兩名攻擊者利用該漏洞獲利35枚ETH。[2023/7/3 22:15:04]

這個問題對NFT交易平臺方有點棘手:OS把訂單信息開放在了API中,公開透明,科學家可以通過API拿到訂單信息。所以上文中的這個NFT一旦回到A地址,就存在被立馬買走的風險。就算OS的功能立馬調整,不再展示1ETH的賣單信息,又或者是直接從數據庫刪除order信息,都解決不了這個問題。

印度央行行長:與印度政府就包括加密貨幣在內的問題進行交談:6月8日消息,印度央行行長沙克蒂坎塔·達斯表示,與印度政府就包括加密貨幣在內的問題進行交談。[2022/6/8 4:10:40]

并且現在關閉API也解決不了這個問題,之前存量的掛單信息可以視為已經完全泄露。而且可以從OS界面用爬蟲爬出order信息。所以只要準備足夠充分,NFT再次回到A地址,黑客可以在任何地方以1ETH買走這個NFT。

當然平臺可以在用戶轉走NFT的時候提醒cancelorder,這個操作后將作廢掉之前掛單的簽名信息,但會上鏈消耗GASFee,掛單多次需取消多次。Opensea的撮合合約里也沒有一次取消多個order的方法,這是其他OS競品交易市場可以進行優化的功能。可以一鍵取消多個掛單,減少用戶操作,不過GASFee肯定是少不了的。

平臺提醒目前看來是一個比較簡單快速的方式,但是是用戶也可以在其他平臺直接轉走NFT。比如我在OS掛了個賣單,我也可以imToken、Looksrare、Mintverse等其他平臺直接轉走NFT。總結一下就是沒法保證NFT掛單簽名信息百分百和NFT轉移一起失效。這個問題對NFT交易平臺來說有點無解,不僅僅是OS,任何NFT交易平臺都一樣。除非是中心化的交易平臺,所以對平臺來說只能不斷的提醒引導用戶,提高用戶風險意識。

對用戶而言,如果知道這個漏洞后注意別再把NFT轉回到之前的地址就沒問題。不過這個行業用戶知識水平參差不齊,轉錯ERC20到合約地址的情況都時有發生,NFT這個問題個人覺得后面也會一直有。也有用戶在掛了賣單情況下去進行質押之類的操作,這種情況取回來只能到原地址。這種情況如果有價格差,肯定有被擼走的風險。如果有這種情況的用戶,可用先取消掉授權,再取回NFT。

2022肯定還會出現一大批NFT交易市場,數據完整性,實時性,準確性;產品安全性,可用性,穩定性;肯定會成為未來NFT交易市場的競爭點。用戶也需要提高安全意識,保管好自己寶貴的NFT。

來源:金色財經

Tags:NFTETHGASPENNFT2$價格ETHHEDGE價格Gastreamopensea幣價格

FIL幣
COM:釣魚與反釣魚技術淺析

釣魚與反釣魚技術淺析 1.郵箱釣魚 0X00郵箱偽造技術 0X01Swaks偽造郵件swaks堪稱SMTP協議的瑞士軍刀.

1900/1/1 0:00:00
NFT:你買的NFT盲盒 其實可以被隨時調換

作為NFT愛好者,每當有知名IP爆款或新品上線Mint時,我和我的小伙伴總是第一時間沖在前線。Mint后,大多NFT都會以盲盒形式存在數天才會開盒.

1900/1/1 0:00:00
ALA:技術周刊|Optimism:平均交易費用或將再降低30%

本周技術周刊包含以太坊、EOS、Cardano、Hedera、Harmony、Nym、Phala、Polygon、Optimism、Phala、Astar、StarkWare、Avalanche.

1900/1/1 0:00:00
區塊鏈:比特幣網絡難度在價格震蕩期間創歷史新高

點擊上方“藍色字”可關注我們!暴走時評:來自BTC.com的數據估計,在未來12天內,比特幣網絡難度將繼續攀升達到26.70T,再創歷史新高,而網絡也將隨之變得更加強健.

1900/1/1 0:00:00
THE:后“莫里森”時代美國反欺詐證券法域外效力——Crypto的域外交易合規分析

美國反欺詐證券法域外效力的發展可大致分為前“莫里森”時代和后“莫里森”時代。在最高法院做出具有劃時代意義的“莫里森”案判決后,國會通過《多德-弗蘭克華爾街改革與消費者保護法案》,其中關于反欺詐法.

1900/1/1 0:00:00
元宇宙:元宇宙范疇在不斷擴大 藍海趨勢一場比賽

元宇宙范疇在不斷擴大?藍海趨勢一場比賽元宇宙其所具有的產業跨度在不斷增強,在新生技術領域中出現的藍海趨勢不斷拓展,2022年階段在繼續深化之中,所具有的底層技術革新也是非常明顯的.

1900/1/1 0:00:00
ads