作者:dily_xz
看到那么多无脑吹Blur的服了,APT空投吹APT,Blur空投吹Blur
今天仔细研究了一下他们产品,写个总结记录一下,顺便横向对比一下其他交易市场,先上结论:
满足极少用户的产品,而且目前跨链交易的Gas费控制极差,不建议使用。
1)为了方便阐述我的想法,画了一张图方便解释,顺便也整理一下思路简单来说,NFT交易用户可以分三部分:NFT小白用户、普通用户、专业人士。
LendHub被黑简析:系LendHub中存在新旧两市场:金色财经报道,据慢雾安全区情报,2023 年 1 月 13 日,HECO 生态跨链借贷平台 LendHub 被攻击损失近 600 万美金。慢雾安全团队以简讯的形式分享如下:
此次攻击原因系 LendHub 中存在两个 lBSV cToken,其一已在 2021 年 4 月被废弃但并未从市场中移除,这导致了新旧两个 lBSV 都存在市场中。且新旧两个 lBSV 所对应的 Comptroller 并不相同但却都在市场中有价格,这造成新旧市场负债计算割裂。攻击者利用此问题在旧的市场进行抵押赎回,在新的市场进行借贷操作,恶意套取了新市场中的协议资金。
目前主要黑客获利地址为 0x9d01..ab03,黑客攻击手续费来源为 1 月 12 日从 Tornado.Cash 接收的 100 ETH。截至此时,黑客已分 11 笔共转 1,100 ETH 到 Tornado.Cash。通过威胁情报网络,已经得到黑客的部分痕迹,慢雾安全团队将持续跟进分析。[2023/1/13 11:11:00]
2)人数最多的的用户,他们对钱包原理不是特别清楚,也没有太高的安全意识,还按照Web2的习惯看待NFT产品所以针对这些用户有好多产品,比如币安的NFT交易所、TP,不安全,但是方便啊但是目前这些用户是最多的,但是还没有哪个平台完全满足这些人的需求,简单、安全、方便
Beosin:SheepFarm项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,BNB链上的SheepFarm项目遭受漏洞攻击,Beosin分析发现由于SheepFarm合约的register函数可以多次调用,导致攻击者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函数增大自身的gems,再利用upgradeVillage函数在消耗gems的同时累加yield属性,最后调用sellVillage方法把yield转换为money后再提款。本次攻击导致项目损失了约262个BNB,约7.2万美元。Beosin Trace追踪发现被盗金额仍在攻击者账户,将持续关注资金走向。[2022/11/16 13:10:39]
3)其实目前市场的核心力量在腰部用户,也就是普通用户他们已经可以熟练的使用钱包了,而且对各种钓鱼方式也比较注意,各个Web3产品也如数家珍这个市场也是目前厮杀比较激烈的区域,包括龙头Opensea、Element、X2Y2、Looks等平台。
慢雾:跨链互操作协议Nomad桥攻击事件简析:金色财经消息,据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队分析如下:
1. 在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。
2. 项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。
3. 因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。
综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]
4)还有就是提到Blur,他是一些专业人士需要的平台,追求原教旨主义、专业的交易平台、注重交易成本之前这个领域一直是Gem和Genie的区域,现在Element也支持聚合交易,可以满足跨市场扫货的需求,Gas费用还便宜现在Blur是比这几家还要极致,做的更加的专业化和细分
慢雾:Harmony Horizon bridge遭攻击简析:据慢雾安全团队消息,Harmony Horizon bridge 遭到黑客攻击。经慢雾 MistTrack 分析,攻击者(0x0d0...D00)获利超 1 亿美元,包括 11 种 ERC20 代币、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊链攻击者将大部分代币转移到两个新钱包地址,并将代币兑换为 ETH,接着将 ETH 均转回初始地址(0x0d0...D00),目前地址(0x0d0...D00)约 85,837 ETH 暂无转移,同时,攻击者在 BNB 链暂无资金转移操作。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/6/24 1:28:30]
5)但是越往上用户是越少的,也就是说Blur的目标人群极少,会比Gem和Genie还少这是最大的问题,他的天花板太低了,甚至就是个地板的用户量还有他的UI,因为他大量的使用了像素风格,像素风格喜欢的人很喜欢,不喜欢的人是真不习惯,大多数人知道像素风么
Force DAO 代币增发漏洞简析:据慢雾区消息,DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现: 在用户进行 deposit 操纵时,Force DAO 会为用户铸造 xFORCE 代币,并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度,当用户的授权额度不足时 transferFrom 函数返回 false,而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行,xFORCE 代币被顺利铸造给用户,但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查,以避免此问题的发生。[2021/4/4 19:45:30]
6)还有就是他的设计理念,不太在乎普通人的感受,我虽然买了很多NFT但是自认算是普通交易者我没有找到关于合集的信息,包括Twitter、官网等信息,更不用说基础的数据分析了。这就把太多人挡在门外了。
7)我针对单个NFT分别测试了Element、Opensea、Blur的Gas费用Element:4.63Element:5.14Opensea:5.07Blur:10.5因为大部分都是聚合Opensea的,所以Opensea最便宜,但是Element自有更便宜。
8)大家经常使用的是聚合,Element因为是聚合了Opensea所以肯定会比Opensea高一点。但是,但是BlurGas居然高达10.5u,我当时就蒙了……最后才发现是他的业务逻辑太复杂了,Gas费用飙升,但是只是聚合交易而已你在做什么呢?当然除了单个的我还做了批量扫货的聚合交易测试。
9)针对5个NFT批量测试了Element、Opensea、Blur的Gas费用Element:22.33Element:17.77Opensea:15.59Blur:56.38太贵了,虽然只是预估价格,我还专门买了NFT测试,结果也是是真贵,他的聚合合约逻辑太复杂了。
10)大家也在找各自的定位,但是Blur目前的定位非常不看好而且真正的专业交易者会直接调用OpenseaAPI不会经过他的合约再来一道,便宜、快、安全。
目前关注Opensea的求新求变,Element和X2Y2根据社区用户的产品迭代。以上,供大家参考。
标签:FORCEFORORCBLUWork Force CoinForest KnightTHORChainDoge Blue
a16zCrypto编写代币化资金库标准的标准属性,并针对约100个ERC-4626Vault测试该属性,发现许多Vault未能遵循标准要求.
1900/1/1 0:00:00撰文:?longcrypto,元宇宙之道10月31日,是比特币白皮书发布14周年的日子,短短3192个字,为此后波澜壮阔的加密行业奠定了坚实的基础.
1900/1/1 0:00:00作者:LoopyLu,ODAILY星球日报昨日晚间,以太坊Gas暴涨,一个名为XEN的项目再次引发GasWar。Dune数据显示,截至发文,XEN已消耗1184枚?ETH?,占全网今日总销毁量的45%.
1900/1/1 0:00:00香港金融科技周期间,全链互操作协议MAPProtocol联合AMAstudio及zkNFTex于11月5日下午6点在港举办“NextLegend:MAPHKontoWeb3”线下VIP活动.
1900/1/1 0:00:00来源:钛媒体 2022年9月15日,以太坊将迎来它继2013年底初版白皮书发表、2015年7月主网上线之后的又一个历史时刻:“合并”。以太坊的共识机制将从工作量证明转为权益证明.
1900/1/1 0:00:00原文标题:《PureEvil》作者:ArthurHayes编译:郭倩雯,ChainCatcher以下所表达的任何观点均为作者的个人观点,不构成任何投资建议。也许除了光速,一切都是相对的.
1900/1/1 0:00:00