近日Opensea出现了多个低价成交的头部项目,疑似挂单有bug被黑客攻击,黑客通过低价买到头部的NFT项目BoredApeYachtClub等等,再立马高价售出,以此获利数百ETH,以下为分析结果。
先看OS挂单逻辑:出售NFT时授权--》确定价格--》签名--》挂单完成。这时候签名信息会保存在OS的中心化服务器,并且会有API对外开放。
正常交易流程中,买方购买完后这个订单的签名信息就作废。
“被攻击”的情况中,用户在地址A下挂了一个价格为1ETH的NFT卖单,这时候可能会再把NFT转到地址B。后面NFT价格如果涨到了10ETH这个NFT再回到A地址,OS上这个NFT依然会以1ETH的挂单价出现,这时候立马会被人购买,卖家会遭受巨大的差价损失。而买方可以立马转手卖出赚取差价,下面黑客地址就是,低价买入三个BoredApeYachtClub并立马卖出赚取了280ETH,约70万美金。
中央财经大学魏鹏举:推动文博行业数字化,深度融合区块链体系:12月22日,由中国人民大学指导、该校应用经济学院和创意产业技术研究院联合主办的第三届中国文化经济学术论坛在京举行。中央财经大学文化经济研究院院长魏鹏举在会上表示,在文博数字化方面,区块链的应用将越来越深入,实现文博资源由物理形态向数字时代的转化,是数字时代永续发展的“金矿”。
魏鹏举认为,要发挥整合文博数字资源的国家优势,文博数字资源总体掌握在公共机构手中,要对其进行整合。同时大力推进“区块链+”在文博文创领域的深度应用。以“十四五”国家文化大数据建设为契机,积极推进行业性文化数据资源的互联互通,推动文博行业数字化工程深度,融合我国自主可控的区块链体系。他介绍,区块链技术激活数字文化遗产研究,数字化是解决文博保护好、传承好和利用好的重要途径。全球高达60%的博物馆馆藏品面临缺乏专业维护、管理不善等问题,存在诸多风险。(封面新闻)[2021/12/23 7:58:55]
BMEX与币圈都知道社区达成深度战略合作:据官方消息,目前BMEX已与币圈都知道社区达成深度战略合作关系,双方将在福建成立大型区块链培训基地。
币圈都知道社区是集区块链知识普及、行情分析研究、二级市场培训于一体的综合性社区,在全国多地设立有培训基地。
BMEX是一个数字资产综合服务平台,致力于为用户提供安全、可信赖的数字资产交易及资产管理服务。[2021/3/4 18:13:53]
这个问题对NFT交易平台方有点棘手:OS把订单信息开放在了API中,公开透明,科学家可以通过API拿到订单信息。所以上文中的这个NFT一旦回到A地址,就存在被立马买走的风险。就算OS的功能立马调整,不再展示1ETH的卖单信息,又或者是直接从数据库删除order信息,都解决不了这个问题。
声音 | 最高法党组副书记江必新:积极推进互联网、区块链等现代科技在司法领域深度应用:最高人民法院党组副书记、副院长江必新在接受新华社记者采访时表示,人民法院将坚持把司法体制改革和智慧法院建设作为“车之两轮,鸟之两翼”,以审判体系和审判能力现代化推动国家治理体系和治理能力现代化。积极推进互联网、人工智能、大数据、云计算、区块链、5G等现代科技在司法领域深度应用,努力把智慧法院建设提升到新水平。(新华网)[2019/11/29]
并且现在关闭API也解决不了这个问题,之前存量的挂单信息可以视为已经完全泄露。而且可以从OS界面用爬虫爬出order信息。所以只要准备足够充分,NFT再次回到A地址,黑客可以在任何地方以1ETH买走这个NFT。
当然平台可以在用户转走NFT的时候提醒cancelorder,这个操作后将作废掉之前挂单的签名信息,但会上链消耗GASFee,挂单多次需取消多次。Opensea的撮合合约里也没有一次取消多个order的方法,这是其他OS竞品交易市场可以进行优化的功能。可以一键取消多个挂单,减少用户操作,不过GASFee肯定是少不了的。
平台提醒目前看来是一个比较简单快速的方式,但是是用户也可以在其他平台直接转走NFT。比如我在OS挂了个卖单,我也可以imToken、Looksrare、Mintverse等其他平台直接转走NFT。总结一下就是没法保证NFT挂单签名信息百分百和NFT转移一起失效。这个问题对NFT交易平台来说有点无解,不仅仅是OS,任何NFT交易平台都一样。除非是中心化的交易平台,所以对平台来说只能不断的提醒引导用户,提高用户风险意识。
对用户而言,如果知道这个漏洞后注意别再把NFT转回到之前的地址就没问题。不过这个行业用户知识水平参差不齐,转错ERC20到合约地址的情况都时有发生,NFT这个问题个人觉得后面也会一直有。也有用户在挂了卖单情况下去进行质押之类的操作,这种情况取回来只能到原地址。这种情况如果有价格差,肯定有被撸走的风险。如果有这种情况的用户,可用先取消掉授权,再取回NFT。
2022肯定还会出现一大批NFT交易市场,数据完整性,实时性,准确性;产品安全性,可用性,稳定性;肯定会成为未来NFT交易市场的竞争点。用户也需要提高安全意识,保管好自己宝贵的NFT。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。