在不久以后,Facebook和Instagram可以让用户使用NFT作为图片。Meta可能会建立一个NFT市场,用户可以在这里铸造和交易NFT。这可能会将本已蓬勃发展的NFT行业推向主流市场,但也可能意味着巨大风险。Meta也许只是为了获得更多的权利,通过重塑品牌和推出受欢迎的产品来挽救自己的名声。
随着科技巨头竞相“支持”元宇宙这个或许有数十亿利润的行业,英国《金融时报》表示Meta公司(原Facebook)正在讨论建立NFT市场的可能性,并正在研究一种允许用户铸造和销售NFT的产品。
Beosin:EthTeamFinance项目遭受到了漏洞攻击事件简析:据Beosin EagleEye 安全预警与监控平台检测显示,ETH链上的EthTeamFinance项目遭受漏洞攻击,攻击合约0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通过LockToken合约的migrate函数没有正确验证_id和params的漏洞,将WTH,CAW,USDC,TSUKA代币从V2流动性池非法升级到V3流动性池,并且通过sqrtPriceX96打乱V3流动池的Initialize的价格,从而获取大量refund套利。共计套利了约1300多万美元。[2022/10/27 11:49:12]
安全团队:获利约900万美元,Moola协议遭受黑客攻击事件简析:10月19日消息,据Beosin EagleEye Web3安全预警与监控平台监测显示,Celo上的Moola协议遭受攻击,黑客获利约900万美元。Beosin安全团队第一时间对事件进行了分析,结果如下:
第一步:攻击者进行了多笔交易,用CELO买入MOO,攻击者起始资金(182000枚CELO).
第二步:攻击者使用MOO作为抵押品借出CELO。根据抵押借贷的常见逻辑,攻击者抵押了价值a的MOO,可借出价值b的CELO。
第三步:攻击者用贷出的CELO购买MOO,从而继续提高MOO的价格。每次交换之后,Moo对应CELO的价格变高。
第四步:由于抵押借贷合约在借出时会使用交易对中的实时价格进行判断,导致用户之前的借贷数量,并未达到价值b,所以用户可以继续借出CELO。通过不断重复这个过程,攻击者把MOO的价格从0.02 CELO提高到0.73 CELO。
第五步:攻击者进行了累计4次抵押MOO,10次swap(CELO换MOO),28次借贷,达到获利过程。
本次遭受攻击的抵押借贷实现合约并未开源,根据攻击特征可以猜测攻击属于价格操纵攻击。截止发文时,通过Beosin Trace追踪发现攻击者将约93.1%的所得资金 返还给了Moola Market项目方,将50万CELO 捐给了impact market。自己留下了总计65万个CELO作为赏金。[2022/10/19 17:32:31]
据报道,Facebook和Instagram的团队也在“准备一项功能”,可以用来显示NFT作为社交媒体的个人资料图片。这可能会在显示原始NFT和JPG之间提供新的选择,从而增强NFT持有者表达其所有权的偏好。
慢雾:GenomesDAO被黑简析:据慢雾区hacktivist消息,MATIC上@GenomesDAO项目遭受黑客攻击,导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因:
1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制,攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。
2.随后攻击者通过stake函数进行虚假LP代币的抵押操作,以获得大量的LPSTAKING抵押凭证。
3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币,随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。
4.最后将LP发送至DEX中移除流动性获利。
本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]
这些公司对NFT的兴趣已经持续了一段时间。去年,Instagram的首席执行官AdamMosseri表示,该公司“正在积极探索NFT,以及我们如何让更多的人更容易接触到它们。”
Grim Finance 被黑简析:攻击者通过闪电贷借出 WFTM 与 BTC 代币:据慢雾区情报,2021 年 12 月 19 日,Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币,并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。
2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作,而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中,depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币,本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。
3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性,攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时,恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押,此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。
4. 由于攻击者对 GrimBoostVault 合约重入了多次,因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。
此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁,导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议:对于用户传入的参数应检查其是否符合预期,对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。[2021/12/19 7:49:04]
英国《金融时报》表示,“这些努力尚处于早期阶段,但可能会有所改变”。NFT平台OpenSea首次突破了月交易额35亿美元的大关,日交易额突破了1.69亿美元,在如此强劲的竞争对手面前,Meta从中获利是很有意义的。
然而,人们普遍指责Facebook把利润放在第一位,危及用户的隐私安全,并对年轻一代具有危险的影响力。多年来,相关丑闻已导致Meta失去人气,但用户可能会回来加入这股新的热潮。
这些来自Meta的新努力被认为是对NFT行业最大的主流支持,但代价是什么呢?
到底是Meta支持NFT,还是NFT重塑了这家公司?
Novi是Meta的Crypto钱包。英国《金融时报》支持,这将是“该计划的关键”,因为“与Novi相关的许多支持功能将为NFT提供动力。”
这个钱包是在2021年10月推出的Diem稳定币项目的延伸。由于Meta产品显示的风险,它提出时,社区就表示了担忧。
美国参议员布赖恩·沙茨、谢罗德·布朗、理查德·布卢门塔尔、伊丽莎白·沃伦和蒂娜·史密斯都表示不要信任Facebook来保护用户数据或负责支付平台。
他们立即推迟这个项目的发行,并致信给马克·扎克伯格表示,“我们敦促你立即停止你的Novi项目,并不会让Diem推向市场。”
同时这些参议员表示:“除了像Diem这样的产品对金融稳定构成的风险之外,你还没有给出一个令人满意的解释,说明Diem将如何防止非法资金流动和其他犯罪活动。”
作为回应,稳定币Diem项目方反馈给监管机构表示:“Diem不是Facebook。我们是一个独立的组织,Facebook的Novi只是Diem协会二十多个成员之一,Novi与Diem无关。“
然而一切都表明Facebook正在推进这两个项目:Novi钱包和Diem。尽管市场对该公司的担忧并没有消失。
随着他们重新品牌化、推出新产品、重新品牌化,并且投身于元宇宙、crypto和NFT的理念时,他们将用户关注的重心从该集团拥有如此大的干涉人民生活的风险中转移出来的计划可能会奏效。
2015年,马克·扎克伯格表示:“Facebook是一个应用家族。”但如今,它似乎是一个有些危险的家族。
原文来源于bitcoinist,由区块链骑士编译整理,英文版权归原作者所有,中文转载请联系编译。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。