NFT:深度解析Opensea挂单“漏洞” 公开订单被黑客盯梢

近日Opensea(OS)出现了多个低价成交的头部项目,疑似挂单有bug被黑客攻击,黑客通过低价买到头部的NFT项目Bored Ape Yacht Club等等,再立马高价售出,以此获利数百ETH,以下为分析结果。

先看OS挂单逻辑:出售NFT时授权(授权完成以后OS的撮合合约可以调用用户地址的这个NFT)--》确定价格--》签名--》挂单完成。这时候签名信息会保存在OS的中心化服务器,并且会有API对外开放。

正常交易流程中,买方购买完后这个订单的签名信息就作废。

Asproex阿波罗与Beep币扑达成深度战略合作:据官方消息,7月27日,Asproex阿波罗与Beep币扑正式达成深度战略合作,今后,双方将各自发挥自身优势,在应用落地、生态拓展、媒体资源等领域上强强联合,携手共建区块链产业新生态。

?

Beep币扑是首个专注于区块链垂直领域的社交媒体,集热点标签、直播转播、内容社交等功能为一体,主打“区块链热搜榜”+“社群直播/转播工具”,致力于为海内外新老用户提供最新的行业资讯。

?

Asproex阿波罗作为首家离岸银行控股持牌交易平台,也是一家涵盖CTO企业通证上市的交易平台,持有5国牌照,为全球中小微企业提供融资难的解决方案,助力数字化上市。[2020/7/27]

“被攻击”的情况中,用户在地址A下挂了一个价格为1ETH的NFT卖单,这时候可能会再把NFT转到地址B。后面NFT价格如果涨到了10ETH这个NFT再回到A地址,OS上这个NFT依然会以1ETH的挂单价出现(亲测确实会出现,但是用户可能不知道),这时候立马会被人购买,卖家会遭受巨大的差价损失。而买方可以立马转手卖出赚取差价,下面黑客地址就是,低价买入三个Bored Ape Yacht Club并立马卖出赚取了280ETH,约70万美金。

CoinBene满币巴西分站与BlockDyns达成深度战略合作 ?:CoinBene满币宣布与巴西著名机构BlockDyns达成深度战略合作,双方将围绕虚拟货币合约交易、全球市场宣发、资源对接、渠道商招募以及全方面业务拓展展开全方位合作,帮助用户有更好的合约体验。

据介绍,BlockDyns是一家巴西当地专业的区块链社群,拥有20多万社群用户,致力于帮助社区人员有更好的交易体验,共建线上共识社区。

CoinBene满币数字资产交易平台在全球180多个国家和地区拥有500多万用户,日活跃用户数超10万,日均交易额30亿美元。2019年初,平台战略布局合约衍生品市场,主要为投资者提供以BTC、USDT进行结算且安全、稳定的永续合约服务,CoinBene满币将继续深化与社区、媒体合作。

?[2020/5/22]

声音 | 德勤:管理部门将促进区块链与实体经济深度融合:据中新网消息,近日,在“德勤2018中国高科技高成长50强”颁奖大会上,德勤发言人表示,今年,区块链拥抱实体经济的趋势更加明显。截至今年3月底,中国区块链融资案例中,与实体经济相关的案例最多达65家。预计未来数年,区块链与制造业和消费业的结合会更为广泛而深入。

作为行业管理部门,工信部也表态将促进区块链与实体经济深度融合。[2018/12/6]

这个问题对NFT交易平台方有点棘手:OS把订单信息开放在了API中,公开透明,科学家可以通过API拿到订单信息。所以上文中的这个NFT一旦回到A地址,就存在被立马买走的风险。就算OS的功能立马调整,不再展示1ETH的卖单信息,又或者是直接从数据库删除order信息,都解决不了这个问题。

并且现在关闭API也解决不了这个问题,之前存量的挂单信息可以视为已经完全泄露。而且可以从OS界面用爬虫爬出order信息。所以只要准备足够充分,NFT再次回到A地址,黑客可以在任何地方以1ETH买走这个NFT。

当然平台可以在用户转走NFT的时候提醒cancel order,这个操作后将作废掉之前挂单的签名信息,但会上链消耗GAS Fee,挂单多次需取消多次。Opensea的撮合合约里也没有一次取消多个order的方法,这是其他OS竞品交易市场可以进行优化的功能。可以一键取消多个挂单,减少用户操作,不过GAS Fee肯定是少不了的。

平台提醒目前看来是一个比较简单快速的方式,但是是用户也可以在其他平台直接转走NFT。比如我在OS挂了个卖单,我也可以imToken、Looksrare、Mintverse等其他平台直接转走NFT。总结一下就是没法保证NFT挂单签名信息百分百和NFT转移一起失效。这个问题对NFT交易平台来说有点无解,不仅仅是OS,任何NFT交易平台都一样。除非是中心化的交易平台,所以对平台来说只能不断的提醒引导用户,提高用户风险意识。

对用户而言,如果知道这个漏洞后注意别再把NFT转回到之前的地址就没问题。不过这个行业用户知识水平参差不齐,转错ERC20到合约地址的情况都时有发生,NFT这个问题个人觉得后面也会一直有。也有用户在挂了卖单情况下去进行质押之类的操作,这种情况取回来只能到原地址。这种情况如果有价格差,肯定有被撸走的风险。如果有这种情况的用户,可用先取消掉授权,再取回NFT。

2022肯定还会出现一大批NFT交易市场,数据完整性,实时性,准确性;产品安全性,可用性,稳定性;肯定会成为未来NFT交易市场的竞争点。用户也需要提高安全意识,保管好自己宝贵的NFT。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:0ms0-1:82ms