比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

深度解析Opensea掛單“漏洞” 公開訂單被黑客盯梢_NFT

Author:

Time:1900/1/1 0:00:00

近日Opensea出現了多個低價成交的頭部項目,疑似掛單有bug被黑客攻擊,黑客通過低價買到頭部的NFT項目BoredApeYachtClub等等,再立馬高價售出,以此獲利數百ETH,以下為分析結果。

先看OS掛單邏輯:出售NFT時授權--》確定價格--》簽名--》掛單完成。這時候簽名信息會保存在OS的中心化服務器,并且會有API對外開放。

正常交易流程中,買方購買完后這個訂單的簽名信息就作廢。

“被攻擊”的情況中,用戶在地址A下掛了一個價格為1ETH的NFT賣單,這時候可能會再把NFT轉到地址B。后面NFT價格如果漲到了10ETH這個NFT再回到A地址,OS上這個NFT依然會以1ETH的掛單價出現,這時候立馬會被人購買,賣家會遭受巨大的差價損失。而買方可以立馬轉手賣出賺取差價,下面黑客地址就是,低價買入三個BoredApeYachtClub并立馬賣出賺取了280ETH,約70萬美金。

美CFTC主席:加密現貨市場監管是“我們邁出的一大步”:金色財經報道,美國商品期貨交易委員會(CFTC)主席Rostin Behnam周四在國際金融學院會議上表示,正在繼續推動擴大該機構在加密領域的監管權力,以追蹤他們認為是商品的加密貨幣。這是我們邁出的一大步,我已經提出了這個理由,論點是,與主要是機構和批發市場的傳統商品市場不同,我們已經看到以零售為導向和投機的商品數字市場出現了。

美國金融監管機構委員會最近建議國會授予數字資產現貨市場監管機構的規則制定權,該報告沒有具體說明擁有該權力的機構,此前參議院農業委員會已就兩黨立法舉行聽證會,以授予 CFTC 該權力。[2022/10/14 14:27:07]

山東金鄉縣開展網吧虛擬貨幣“挖礦”活動整治行動:金色財經報道,為貫徹落實有關虛擬貨幣“挖礦”活動整治工作文件精神,山東省濟寧市金鄉縣文化市場綜合執法大隊組織召開專題會議,部署開展專項行動。在執法檢查過程中,執法人員就虛擬貨幣“挖礦”和交易活動的危害及相關政策規定進行宣傳講解,并簽訂《信用承諾書》,引導網吧業主平時做好自查自糾,配合清理整治,共突擊檢查網吧8家,出動執法人員24人次,未發現違規問題。[2022/10/12 10:32:31]

這個問題對NFT交易平臺方有點棘手:OS把訂單信息開放在了API中,公開透明,科學家可以通過API拿到訂單信息。所以上文中的這個NFT一旦回到A地址,就存在被立馬買走的風險。就算OS的功能立馬調整,不再展示1ETH的賣單信息,又或者是直接從數據庫刪除order信息,都解決不了這個問題。

Lido Finance子圖現已部署至TheGraph上:金色財經消息,流動性質押協議Lido Finance宣布其子圖(Subgraph)現已部署至The Graph上。子圖開發者定義哪些數據將從區塊鏈上被索引,以及如何存儲和通過API層提供。Lido Finance建議其托管服務版本用戶將查詢遷移到去中心化網絡。[2022/6/21 4:42:59]

并且現在關閉API也解決不了這個問題,之前存量的掛單信息可以視為已經完全泄露。而且可以從OS界面用爬蟲爬出order信息。所以只要準備足夠充分,NFT再次回到A地址,黑客可以在任何地方以1ETH買走這個NFT。

當然平臺可以在用戶轉走NFT的時候提醒cancelorder,這個操作后將作廢掉之前掛單的簽名信息,但會上鏈消耗GASFee,掛單多次需取消多次。Opensea的撮合合約里也沒有一次取消多個order的方法,這是其他OS競品交易市場可以進行優化的功能。可以一鍵取消多個掛單,減少用戶操作,不過GASFee肯定是少不了的。

平臺提醒目前看來是一個比較簡單快速的方式,但是是用戶也可以在其他平臺直接轉走NFT。比如我在OS掛了個賣單,我也可以imToken、Looksrare、Mintverse等其他平臺直接轉走NFT。總結一下就是沒法保證NFT掛單簽名信息百分百和NFT轉移一起失效。這個問題對NFT交易平臺來說有點無解,不僅僅是OS,任何NFT交易平臺都一樣。除非是中心化的交易平臺,所以對平臺來說只能不斷的提醒引導用戶,提高用戶風險意識。

對用戶而言,如果知道這個漏洞后注意別再把NFT轉回到之前的地址就沒問題。不過這個行業用戶知識水平參差不齊,轉錯ERC20到合約地址的情況都時有發生,NFT這個問題個人覺得后面也會一直有。也有用戶在掛了賣單情況下去進行質押之類的操作,這種情況取回來只能到原地址。這種情況如果有價格差,肯定有被擼走的風險。如果有這種情況的用戶,可用先取消掉授權,再取回NFT。

2022肯定還會出現一大批NFT交易市場,數據完整性,實時性,準確性;產品安全性,可用性,穩定性;肯定會成為未來NFT交易市場的競爭點。用戶也需要提高安全意識,保管好自己寶貴的NFT。

來源:金色財經

Tags:NFTETHAPIORDFyooz NFTxETH-GDreamPad Capitalordi幣最新消息

以太坊最新價格
金色web3.0日報 | 披頭士樂隊紀念品將作為 NFT 出售_NFT

DeFi數據 1.DeFi代幣總市值:1128.35億美元 DeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:69.

1900/1/1 0:00:00
社交SocialFi賽道的Monaco 是如何邊寫邊賺的?_ACO

我收到Monaco平臺空投的7.9個mona,看到平臺其他用戶的分享的,有收到了1925個,還有幾百個的。根據用戶活躍度,內容更新頻率以及質押數量不等空投數量不等.

1900/1/1 0:00:00
Coinbase首度發文披露其上幣、員工交易和風投部門等細節_coinbase

Coinbase風險投資部門從未出售過其投資的任何代幣,其由一個獨立的團隊運作,且對Coinbase平臺的上幣決策不會產生影響.

1900/1/1 0:00:00
金色前哨 | 美聯儲發布討論文件 審查美國發行CBDC的潛在利弊_BDC

美聯儲邁出了更認真地研究發行中央銀行數字貨幣的第一步。美聯儲周四發布了一份討論文件,審查了潛在的美國中央銀行數字貨幣CBDC的利弊.

1900/1/1 0:00:00
數字資產價值投資(十七)ETF_比特幣

作者?|?武大餅 雖然比特幣期貨合約已經存在,但什么是交易所交易基金?在這里,我們探討了比特幣ETF是什么,并揭示了它與“區塊鏈ETF”的區別.

1900/1/1 0:00:00
Show平臺, 千萬DAOs的基地_DAO

近日,Show平臺上有用戶自發發行了METAIDxDAONFT,同時通過空投讓支持MetaID的用戶成為了第一批DAO成員.

1900/1/1 0:00:00
ads