作者:dily_xz
看到那么多無腦吹Blur的服了,APT空投吹APT,Blur空投吹Blur
今天仔細研究了一下他們產品,寫個總結記錄一下,順便橫向對比一下其他交易市場,先上結論:
滿足極少用戶的產品,而且目前跨鏈交易的Gas費控制極差,不建議使用。
1)為了方便闡述我的想法,畫了一張圖方便解釋,順便也整理一下思路簡單來說,NFT交易用戶可以分三部分:NFT小白用戶、普通用戶、專業人士。
2)人數最多的的用戶,他們對錢包原理不是特別清楚,也沒有太高的安全意識,還按照Web2的習慣看待NFT產品所以針對這些用戶有好多產品,比如幣安的NFT交易所、TP,不安全,但是方便啊但是目前這些用戶是最多的,但是還沒有哪個平臺完全滿足這些人的需求,簡單、安全、方便
Beosin:Skyward Finance項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,Near鏈上的Skyward Finance項目遭受漏洞攻擊,Beosin分析發現由于skyward.near合約的redeem_skyward函數沒有正確校驗token_account_ids參數,導致攻擊者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39傳入相同的token_account_id,并多次領取了WNear獎勵。本次攻擊導致項目損失了約108萬個Near,約320萬美元。Beosin Trace追蹤發現被盜金額已被攻擊者轉走。[2022/11/3 12:12:36]
3)其實目前市場的核心力量在腰部用戶,也就是普通用戶他們已經可以熟練的使用錢包了,而且對各種釣魚方式也比較注意,各個Web3產品也如數家珍這個市場也是目前廝殺比較激烈的區域,包括龍頭Opensea、Element、X2Y2、Looks等平臺。
安全公司:Starstream Finance被黑簡析:4月8日消息,據Agora DeFi消息,受 Starstream 的 distributor treasury 合約漏洞影響,Agora DeFi 中的價值約 820 萬美金的資產被借出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。
1. 在 Starstream 的 StarstreamTreasury 合約中存在 withdrawTokens 函數,此函數只能由 owner 調用以取出合約中儲備的資金。而在 April-07-2022 11:58:24 PM +8UTC 時,StarstreamTreasury 合約的 owner 被轉移至新的 DistributorTreasury 合約(0x6f...25)。
2. 新的 DistributorTreasury 合約中存在 execute 函數,而任意用戶都可以通過此函數進行外部調用,因此攻擊者直接通過此函數調用 StarstreamTreasury 合約中的 withdrawTokens 函數取出合約中儲備的 532,571,155.859 個 STARS。
3. 攻擊者將 STARS 抵押至 Agora DeFi 中,并借出大量資金。一部分借出的資金被用于拉高市場上 STARS 的價格以便借出更多資金。[2022/4/8 14:12:38]
4)還有就是提到Blur,他是一些專業人士需要的平臺,追求原教旨主義、專業的交易平臺、注重交易成本之前這個領域一直是Gem和Genie的區域,現在Element也支持聚合交易,可以滿足跨市場掃貨的需求,Gas費用還便宜現在Blur是比這幾家還要極致,做的更加的專業化和細分
Grim Finance 被黑簡析:攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報,2021 年 12 月 19 日,Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。
1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣,并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。
2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作,而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中,depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣,本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。
3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性,攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時,惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押,此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。
4. 由于攻擊者對 GrimBoostVault 合約重入了多次,因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。
此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖,導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議:對于用戶傳入的參數應檢查其是否符合預期,對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]
5)但是越往上用戶是越少的,也就是說Blur的目標人群極少,會比Gem和Genie還少這是最大的問題,他的天花板太低了,甚至就是個地板的用戶量還有他的UI,因為他大量的使用了像素風格,像素風格喜歡的人很喜歡,不喜歡的人是真不習慣,大多數人知道像素風么
慢霧:Spartan Protocol被黑簡析:據慢霧區情報,幣安智能鏈項目 Spartan Protocol 被黑,損失金額約 3000 萬美元,慢霧安全團隊第一時間介入分析,并以簡訊的形式分享給大家參考:
1. 攻擊者通過閃電貸先從 PancakeSwap 中借出 WBNB;
2. 在 WBNB-SPT1 的池子中,先使用借來的一部分 WBNB 不斷的通過 swap 兌換成 SPT1,導致兌換池中產生巨大滑點;
3. 攻擊者將持有的 WBNB 與 SPT1 向 WBNB-SPT1 池子添加流動性獲得 LP 憑證,但是在添加流動性的時候存在一個滑點修正機制,在添加流動性時將對池的滑點進行修正,但沒有限制最高可修正的滑點大小,此時添加流動性,由于滑點修正機制,獲得的 LP 數量并不是一個正常的值;
4. 隨后繼續進行 swap 操作將 WBNB 兌換成 SPT1,此時池子中的 WBNB 增多 SPT1 減少;
5. swap 之后攻擊者將持有的 WBNB 和 SPT1 都轉移給 WBNB-SPT1 池子,然后進行移除流動性操作;
6. 在移除流動性時會通過池子中實時的代幣數量來計算用戶的 LP 可獲得多少對應的代幣,由于步驟 5,此時會獲得比添加流動性時更多的代幣;
7. 在移除流動性之后會更新池子中的 baseAmount 與 tokenAmount,由于移除流動性時沒有和添加流動性一樣存在滑點修正機制,移除流動性后兩種代幣的數量和合約記錄的代幣數量會存在一定的差值;
8. 因此在與實際有差值的情況下還能再次添加流動性獲得 LP,此后攻擊者只要再次移除流動性就能再次獲得對應的兩種代幣;
9. 之后攻擊者只需再將 SPT1 代幣兌換成 WBNB,最后即可獲得更多的 WBNB。詳情見原文鏈接。[2021/5/2 21:17:59]
6)還有就是他的設計理念,不太在乎普通人的感受,我雖然買了很多NFT但是自認算是普通交易者我沒有找到關于合集的信息,包括Twitter、官網等信息,更不用說基礎的數據分析了。這就把太多人擋在門外了。
7)我針對單個NFT分別測試了Element、Opensea、Blur的Gas費用Element:4.63Element:5.14Opensea:5.07Blur:10.5因為大部分都是聚合Opensea的,所以Opensea最便宜,但是Element自有更便宜。
8)大家經常使用的是聚合,Element因為是聚合了Opensea所以肯定會比Opensea高一點。但是,但是BlurGas居然高達10.5u,我當時就蒙了……最后才發現是他的業務邏輯太復雜了,Gas費用飆升,但是只是聚合交易而已你在做什么呢?當然除了單個的我還做了批量掃貨的聚合交易測試。
9)針對5個NFT批量測試了Element、Opensea、Blur的Gas費用Element:22.33Element:17.77Opensea:15.59Blur:56.38太貴了,雖然只是預估價格,我還專門買了NFT測試,結果也是是真貴,他的聚合合約邏輯太復雜了。
10)大家也在找各自的定位,但是Blur目前的定位非常不看好而且真正的專業交易者會直接調用OpenseaAPI不會經過他的合約再來一道,便宜、快、安全。
目前關注Opensea的求新求變,Element和X2Y2根據社區用戶的產品迭代。以上,供大家參考。
原標題:《ValueFlowsintheMEVEcosystem》撰文:ShayonSengupta、TusharJain.
1900/1/1 0:00:00來源:Odaily星球日報北京時間今晚10點,FTX?創始人?SBF連發22條推文,出面回應了近期FTX遭遇流動性危機背后的原因.
1900/1/1 0:00:00DeFi激勵協議Fluidity完成130萬美元種子輪融資,MulticoinCapital領投.
1900/1/1 0:00:00ChianCatcher消息,推特用戶表示,灰度母公司DigitalCurrencyGroup疑似近日刪除其團隊介紹頁面。該頁面原本顯示其團隊、董事會成員、董事會顧問的姓名、職位和圖片等信息.
1900/1/1 0:00:00Circle聯合創始人兼首席執行官JeremyAllaire發推稱,“Circle沒有實質性接觸FTX和Alameda,FTX過去18個月一直是CirclePaymentAPIs的客戶.
1900/1/1 0:00:00撰文:福布斯 編譯:TechFlow FTX的危機,不僅讓客戶“陷入困境”,投資人也遭受重創,FTX最高估值為320億美元,累計融資達到18億美元,其中不乏國際頂尖風投機構.
1900/1/1 0:00:00