宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > MEXC > 正文

深度解析Opensea挂单“漏洞” 公开订单被黑客盯梢

作者:

时间:1900/1/1 0:00:00

近日Opensea出现了多个低价成交的头部项目,疑似挂单有bug被黑客攻击,黑客通过低价买到头部的NFT项目BoredApeYachtClub等等,再立马高价售出,以此获利数百ETH,以下为分析结果。

先看OS挂单逻辑:出售NFT时授权--》确定价格--》签名--》挂单完成。这时候签名信息会保存在OS的中心化服务器,并且会有API对外开放。

正常交易流程中,买方购买完后这个订单的签名信息就作废。

“被攻击”的情况中,用户在地址A下挂了一个价格为1ETH的NFT卖单,这时候可能会再把NFT转到地址B。后面NFT价格如果涨到了10ETH这个NFT再回到A地址,OS上这个NFT依然会以1ETH的挂单价出现,这时候立马会被人购买,卖家会遭受巨大的差价损失。而买方可以立马转手卖出赚取差价,下面黑客地址就是,低价买入三个BoredApeYachtClub并立马卖出赚取了280ETH,约70万美金。

Lifeform孵化链游HALOWORLD将于明年第一季度上线:12月26日消息,Lifeform首席执行官Brian宣布,由Lifeform孵化、HALO制作完成的成长陪伴类链游HALOWORLD将于2023年一季度上线,持有AvatarNFT的用户将可以体验游戏。HALOAvatarNFT将于1月4日在Lifeform平台上以Launchpad的形式发售,公售价格为2500BUSD,白名单价格为2250BUSD。[2022/12/26 22:08:52]

Dapper Labs现已允许受欧盟制裁影响的用户提取NFT:10月18日消息,Dapper Labs现在允许受欧盟制裁俄罗斯影响的用户从Dapper Wallet提出NBA Top Shot、NFL All Day和UFC Strike NFT。该公司表示,此前对与俄罗斯有关的账户进行限制措施是根据Circle发出的要求所作的决定。

Odaily星球日报此前报道,10月6日,欧盟已确认将全面禁止向俄罗斯人提供加密服务,随后Dapper Labs限制向与俄罗斯有联系的账户提供加密资产钱包、账户或托管服务。这些账户无法转移资金、赠送代币、出售NFT或购买新的NFT。[2022/10/18 17:30:31]

这个问题对NFT交易平台方有点棘手:OS把订单信息开放在了API中,公开透明,科学家可以通过API拿到订单信息。所以上文中的这个NFT一旦回到A地址,就存在被立马买走的风险。就算OS的功能立马调整,不再展示1ETH的卖单信息,又或者是直接从数据库删除order信息,都解决不了这个问题。

印度计划在担任G20轮值主席国期间制定加密监管框架:10月16日消息,印度财政部长Nirmala Sitharaman表示,印度的目标是在明年担任G20轮值主席国期间制定加密货币的标准操作程序,并强调所有国家都希望这项技术能够继续存在,但不要被滥用。

Sitharaman指出,与G20、世界银行或任何此类组织有关联的机构正在对与加密货币或加密资产相关问题进行评估和研究,“我们肯定希望整理所有这些东西并做一些研究,然后将其提交给G20,以便成员们可以进行讨论,并希望能达成一个框架或SOP,以便全球各国可以有一个技术驱动的监管框架。”

据悉,印度将在2022年12月1日至2023年11月30日担任G20轮值主席国。从2022年12月开始,在其担任主席国期间,印度预计将在全国举办200多场G20会议。(Business Standard)[2022/10/16 17:28:03]

并且现在关闭API也解决不了这个问题,之前存量的挂单信息可以视为已经完全泄露。而且可以从OS界面用爬虫爬出order信息。所以只要准备足够充分,NFT再次回到A地址,黑客可以在任何地方以1ETH买走这个NFT。

当然平台可以在用户转走NFT的时候提醒cancelorder,这个操作后将作废掉之前挂单的签名信息,但会上链消耗GASFee,挂单多次需取消多次。Opensea的撮合合约里也没有一次取消多个order的方法,这是其他OS竞品交易市场可以进行优化的功能。可以一键取消多个挂单,减少用户操作,不过GASFee肯定是少不了的。

平台提醒目前看来是一个比较简单快速的方式,但是是用户也可以在其他平台直接转走NFT。比如我在OS挂了个卖单,我也可以imToken、Looksrare、Mintverse等其他平台直接转走NFT。总结一下就是没法保证NFT挂单签名信息百分百和NFT转移一起失效。这个问题对NFT交易平台来说有点无解,不仅仅是OS,任何NFT交易平台都一样。除非是中心化的交易平台,所以对平台来说只能不断的提醒引导用户,提高用户风险意识。

对用户而言,如果知道这个漏洞后注意别再把NFT转回到之前的地址就没问题。不过这个行业用户知识水平参差不齐,转错ERC20到合约地址的情况都时有发生,NFT这个问题个人觉得后面也会一直有。也有用户在挂了卖单情况下去进行质押之类的操作,这种情况取回来只能到原地址。这种情况如果有价格差,肯定有被撸走的风险。如果有这种情况的用户,可用先取消掉授权,再取回NFT。

2022肯定还会出现一大批NFT交易市场,数据完整性,实时性,准确性;产品安全性,可用性,稳定性;肯定会成为未来NFT交易市场的竞争点。用户也需要提高安全意识,保管好自己宝贵的NFT。

来源:金色财经

标签:NFTETHDAPLIFENFTM价格PumpETHUSDAP币Virtual life

MEXC热门资讯
熊市令人兴奋的 5 个理由,如何在熊市抓住财富密码?

原文作者:DavidHoffman,Bankless 原文编译:东寻 我的许多朋友在2021年进入了加密领域,他们都只是希望价格上涨……当然,谁不希望自己的投资组合价值增长?所以,当我告诉他们:「想要一个熊市」时,他们总是感到震惊.

1900/1/1 0:00:00
详解公链 Cosmos 的发展路线、期待与隐忧

注:本文内容来自于Youtube百万粉丝博主CoinBureau的视频,仅作为分享,不构成任何投资建议,DYOR。内容整理:0xbread,TechFlow人们常说,加密货币的未来是多链的.

1900/1/1 0:00:00
a16z合伙人:Web 3是如何设计激励机制的?

原文作者:ChrisDixon 原文编译:0xCC 本文由a16z合伙人ChrisDixon在社交媒体上发表,原文标题为《Web3剧本:作为增长机制的互操作性》.

1900/1/1 0:00:00
Bitbyte多元加密平台正在变得越来越受欢迎

在刚刚过去的2021年,DeFi出现了快速创新,我们应该会在2022年看到蓬勃发展的趋势和创新,社交和游戏的金融化将成为主要驱动力.

1900/1/1 0:00:00
在 Web 3 时代,社交媒体所有权是什么?

作者:Nayazunissa在过去的二十年里,社交媒体已经成长为一股全球力量,允许用户在这些数字平台上分享想法、创建内容、获取信息并建立社区.

1900/1/1 0:00:00
CertiK干货分享 | DDoS「网络板砖」攻防图鉴:加密版“呼死你”如何防范?

某白胡子爷爷眼看某小丑大叔店的炸鸡越卖越好,因此找了几个混混去搞事情。他们站在点餐台前,顾左右而言他,提出了各种问题和需求,店员焦头烂额,点了两个小时的餐也不知道混混到底想要什么,饥肠辘辘的客人等不下去纷纷离店了.

1900/1/1 0:00:00