宇宙链 宇宙链
Ctrl+D收藏宇宙链

深度解析Opensea挂单“漏洞” 公开订单被黑客盯梢

作者:

时间:1900/1/1 0:00:00

近日Opensea(OS)出现了多个低价成交的头部项目,疑似挂单有bug被黑客攻击,黑客通过低价买到头部的NFT项目Bored Ape Yacht Club等等,再立马高价售出,以此获利数百ETH,以下为分析结果。

先看OS挂单逻辑:出售NFT时授权(授权完成以后OS的撮合合约可以调用用户地址的这个NFT)--》确定价格--》签名--》挂单完成。这时候签名信息会保存在OS的中心化服务器,并且会有API对外开放。

正常交易流程中,买方购买完后这个订单的签名信息就作废。

火币于佳宁:必须加快区块链与人工智能等前沿信息技术深度融合:中国通信工业协会区块链专委会轮值主席、火币大学校长于佳宁表示,区块链和隐私计算相辅相成,可以更好地挖掘分布式场景下数据要素的价值。未来,在“区块链+隐私计算”所搭建的生态里,每个人可以真正拥有自己的数据控制权,可以利用自己的“数字身份”安全存储数据,同时在使用某个业务时做“选择性披露”,从而进行可信安全的社会活动,并真正释放数据价值。于佳宁强调,在数字时代,要构建完整的数字产业生态,必须加快区块链和人工智能、大数据、物联网等前沿信息技术的深度融合,推动集成创新和融合应用,加快构建新型基础设施,助力百行千业全面转型升级,加速实现产业全面上链,推动数字经济与实体经济深度融合,从而整体驱动生产方式、生活方式和治理方式变革。”(证券日报)[2021/3/26 19:19:09]

“被攻击”的情况中,用户在地址A下挂了一个价格为1ETH的NFT卖单,这时候可能会再把NFT转到地址B。后面NFT价格如果涨到了10ETH这个NFT再回到A地址,OS上这个NFT依然会以1ETH的挂单价出现(亲测确实会出现,但是用户可能不知道),这时候立马会被人购买,卖家会遭受巨大的差价损失。而买方可以立马转手卖出赚取差价,下面黑客地址就是,低价买入三个Bored Ape Yacht Club并立马卖出赚取了280ETH,约70万美金。

动态 | Simplechain与原仓文化达成深度战略合作:2019年12月13日由中宣部版权管理局指导, 广东省版权局、广州市版权局、广州市文化广电旅游局、 越秀区人民政府支持,国家版权贸易基地 (越秀) 承办的中国·广州国际版权授权大会在广州隆重举办, 大会旨在引领文化IP品牌产业的创新发展,会上SimpleChain与原仓文化达成深度战略合作,以区块链技术赋能文化产业,IP授权链上变现,实现区块链价值应用落地。[2019/12/13]

动态 | 《2018国内外石油科技发展与展望》在京发布 高度关注与区块链等深度融合:据人民网报道,11月16日,国家高端智库建设试点单位中国石油经济技术研究院在北京发布《2018国内外石油科技发展与展望》。《展望》高度关注石油工业与大数据、人工智能、虚拟现实、物联网、区块链等新技术,以及纳米、石墨烯等新材料的深度融合,认为这些新技术、新材料将助力石油工业向数字化、智能化转型。[2018/11/17]

这个问题对NFT交易平台方有点棘手:OS把订单信息开放在了API中,公开透明,科学家可以通过API拿到订单信息。所以上文中的这个NFT一旦回到A地址,就存在被立马买走的风险。就算OS的功能立马调整,不再展示1ETH的卖单信息,又或者是直接从数据库删除order信息,都解决不了这个问题。

并且现在关闭API也解决不了这个问题,之前存量的挂单信息可以视为已经完全泄露。而且可以从OS界面用爬虫爬出order信息。所以只要准备足够充分,NFT再次回到A地址,黑客可以在任何地方以1ETH买走这个NFT。

当然平台可以在用户转走NFT的时候提醒cancel order,这个操作后将作废掉之前挂单的签名信息,但会上链消耗GAS Fee,挂单多次需取消多次。Opensea的撮合合约里也没有一次取消多个order的方法,这是其他OS竞品交易市场可以进行优化的功能。可以一键取消多个挂单,减少用户操作,不过GAS Fee肯定是少不了的。

平台提醒目前看来是一个比较简单快速的方式,但是是用户也可以在其他平台直接转走NFT。比如我在OS挂了个卖单,我也可以imToken、Looksrare、Mintverse等其他平台直接转走NFT。总结一下就是没法保证NFT挂单签名信息百分百和NFT转移一起失效。这个问题对NFT交易平台来说有点无解,不仅仅是OS,任何NFT交易平台都一样。除非是中心化的交易平台,所以对平台来说只能不断的提醒引导用户,提高用户风险意识。

对用户而言,如果知道这个漏洞后注意别再把NFT转回到之前的地址就没问题。不过这个行业用户知识水平参差不齐,转错ERC20到合约地址的情况都时有发生,NFT这个问题个人觉得后面也会一直有。也有用户在挂了卖单情况下去进行质押之类的操作,这种情况取回来只能到原地址。这种情况如果有价格差,肯定有被撸走的风险。如果有这种情况的用户,可用先取消掉授权,再取回NFT。

2022肯定还会出现一大批NFT交易市场,数据完整性,实时性,准确性;产品安全性,可用性,稳定性;肯定会成为未来NFT交易市场的竞争点。用户也需要提高安全意识,保管好自己宝贵的NFT。

标签:NFT区块链ETH1ETHNFTCircle区块链的未来发展前景视频ethereal词源1eth币等于多少人民币

芝麻开门交易所下载热门资讯
全球虚拟货币犯罪态势及打击研究报告(2021)

动态 | Hoyos开放100万美元全球黑客挑战:Hoyos (Hoyos Integrity Corporation)投入价值100万美元的RSN通证开展全球黑客挑战。迄今挑战开始两周,失败案例达300多次.

1900/1/1 0:00:00
数字经济学家陈晓华:可从四个层面发力融入元宇宙价值链

10月28日,Facebook正式将母公司名称更改为“Meta”, 称公司将专注于转向以虚拟现实为主的新兴计算平台。Meta意为“超越”和“元”,取自“Metaverse”,也就是近日来创投圈津津乐道的元宇宙.

1900/1/1 0:00:00
黑客事件频发 如何选择相对安全的跨链桥?

在行业快速步入多链生态后,用户对跨链桥的需求也愈发强烈。然而目前的市场上,各公链的官方桥往往支持的链有限,因此,第三方跨链协议凭借着更广泛的公链支持数量成为了用户跨链的主流选择。与此同时,跨链桥也成了黑客们垂涎的目标.

1900/1/1 0:00:00
2022年的元宇宙 你该知晓些什么?

在前文聊到“数字砖”的投资潜力时,有朋友曾留言评价元宇宙是虚幻的海市蜃楼或者郁金香泡沫,在投机的冲动和狂热过后回到现实可能如水中花镜中月般变得荡然无存.

1900/1/1 0:00:00
当我们聊跨链桥时我们在聊什么:跨链桥与不可能三角

随着多链生态的爆发,近半年来桥接以太的跨链协议上TVL也呈现出不断攀升的状态。然而,由于不同区块链系统之间存在不同通信协议、身份管理、共识机制及其他差异,跨链互通依旧面临着与经典的不可能三角相似的问题——即扩展性,安全性和去中心化程度.

1900/1/1 0:00:00
一周必读10篇 | 00后为何又玩起了“80/90后的回忆” QQ秀?

1.高盛报告:比特币、山寨币与传统金融相关性提升高盛在周四的一份报告中表示,自11月以来,加密货币总市值下降了约40%。最近加密货币市场的回落表明,主流采用可能是一把“双刃剑”.

1900/1/1 0:00:00