OpenSea是世界上最大的NFT交易市场,也是NFT行业爆发的最大赢家之一,但去年年底以来面临着被批不重视社区、中心化、竞争加剧等问题。近日,斯坦福大学加密团体Crypto@Stanford对OpenSea的联合创始人兼前首席技术官、斯坦福大学校友AlexAtallah进行专访,并讨论了Opensea早期历程与近期战略思考、Web3安全领域的金字塔以及面临的竞争情形。AlexAtallah表示,OpenSea的最大竞争优势是「可选择性」,并正在努力成为一个更广阔的市场,覆盖每个主要的NFT区块链、每种类型的元数据、每种类型的图像、每种类型的NFT附件。01
步入加密
C@S:你是怎么样进入到加密领域的?Alex:我在2017年的夏天进入了加密领域,因为我想在科技前沿领域做些事情。我一直对自己错过了互联网的诞生而感到遗憾。我喜欢科技史,而互联网的诞生故事又是如此令人兴奋。我有一种疯狂的渴望,想知道是否还会再有这样的东西产生,因为我们曾经有过,就在随着PC诞生的几十年前。所以我觉得,在科技领域似乎时不时会发生一些什么。在2017年,「下一个互联网」的候选者是虚拟现实和加密。加密领域很有趣,我在这里所遇到的社区比我见过的任何其他互联网社区都要热情10倍。它也真的很嘈杂,很多项目在做ICO,很多价值看起来并不长远。但我想,如果有任何社区在这里致力于长期发展,并且包含着与其他社区一样的激情、兴奋度和开发者的参与,那将是非常有价值的。早在2017年,只有几个项目符合这些标准。它们往往非常低调谦虚,创始人只是赠送其代币,看看这个实验会发生什么。例如,CryptoPunks是一个非常低调的项目,免费分发了其所有的10000个NFT,它的社区围绕它有机地成长。其他例子如具有虚拟财产的Decentraland,或CryptoKitties。当CryptoKitties发布时,那是我第一次有对加密不感兴趣的朋友注册了Metamask钱包。那一刻,我感觉到「哇,这就是你使用加密的目的。这是开发人员的实际构建基块。」它也感觉像是一种新的网络基本原语,与网页和加密货币非常不同,需要一个地方让人们去发现它们。C@S:关于NFT领域,你的论点是什么?Alex:NFT以一种让社区感觉真正独立的方式满足了转移价值的潜在需求,并为用户提供了一个全新的发展空间。我认为现有的数字社区中有创意人员,或者在所有成员之间进行非常快速的信息传输。并且有将价值转移出去的潜在需要。具体取决于社区,它会以不同的方式表现出来。有一些以前从未存在过的社区将围绕NFT出现。我的论点是,这种新的网络构建基块是一种表达自己作为一个创作者,以及作为粉丝与创作者互动的新方式,或者作为创意人才的策划者。有一些NFT种类现在没有,我认为它们也将为网络的核心功能提供动力。你可以把字体许可证想象成NFT,每次书法家的字体在二级市场上出售时,他们都会得到补助和版税的奖励,而且谁拥有哪种字体的许可证非常清楚,哪种字体比其它字体更稀缺也非常清楚。或者你可以想象私人数字体验的准入证。NFT真正改变了网络激励人们的方式。我认为我们只是勉强触及了NFT能力的冰山一角。02
LendHub被黑简析:系LendHub中存在新旧两市场:金色财经报道,据慢雾安全区情报,2023 年 1 月 13 日,HECO 生态跨链借贷平台 LendHub 被攻击损失近 600 万美金。慢雾安全团队以简讯的形式分享如下:
此次攻击原因系 LendHub 中存在两个 lBSV cToken,其一已在 2021 年 4 月被废弃但并未从市场中移除,这导致了新旧两个 lBSV 都存在市场中。且新旧两个 lBSV 所对应的 Comptroller 并不相同但却都在市场中有价格,这造成新旧市场负债计算割裂。攻击者利用此问题在旧的市场进行抵押赎回,在新的市场进行借贷操作,恶意套取了新市场中的协议资金。
目前主要黑客获利地址为 0x9d01..ab03,黑客攻击手续费来源为 1 月 12 日从 Tornado.Cash 接收的 100 ETH。截至此时,黑客已分 11 笔共转 1,100 ETH 到 Tornado.Cash。通过威胁情报网络,已经得到黑客的部分痕迹,慢雾安全团队将持续跟进分析。[2023/1/13 11:11:00]
OpenSea创始故事
C@S:你能描述一下当你想出OpenSea时的「顿悟」时刻吗?Alex:创始人Devin的「顿悟」时刻是在他玩CryptoKitties的时候。那时候已经存在ERC-20代币的交易所,所以我们认为我们应当以eBay的方式为所有将出现的ERC-721代币建立一个市场。这似乎是正确的时间,因为CryptoKitties正在爆发的阶段。还有一些其他项目都在不同的垂直领域:一个是CryptoPunks的艺术项目,一个是Decentraland的虚拟土地项目。ERC-721是否会出现爆炸性变化,这一点并不明确。CryptoKitties确实获得了很多关注,但它仍没有那么多用户。很明显的是,用户体验很差。购买NFT、出售NFT并找到详细的交易历史真的很困难。我们认为OpenSea足够解决这些问题。OpenSea将成为NFT的真实来源。就像用户使用区块浏览器来了解区块链上的交易发生了什么一样,OpenSea会向用户展示NFT在交易中发生了什么,无论它们是在哪个区块链上创建的,或者它们附加到什么样的元数据上。C@S:在你推出OpenSea的时候,对于拥有一支经验丰富团队的竞争对手RareBits,你的竞争的战术是什么?你是如何引导你的市场的?Alex:每当有一个新项目看起来令人兴奋的时候,我们便会与这些用户进行交谈,并找出他们想从OpenSea获得什么,看看如何才能赢得他们的忠诚度。对于我们能找到的每一个项目,我们都积极地这样做,每一个项目都展示出某种承诺。我们同时也非常关注用户体验。我们希望市场能够是非常容易被浏览的,同时新项目也不断被发掘。RareBits推出时,它的用户体验比opensea好,我们看着它,就像「好吧,我们必须真正的提高,以确保我们能够保持最佳市场地位。」因此,我们添加了一个搜索索引,并大大改善了过滤功能,我们与项目和卖家合作,试图找出新的销售模式。我们之后使用了Wyvern协议,它摆脱了上架费用,这样用户就可以出售项目,而无需gas费。然后我们提供了报价功能,以便用户可以对上架的NFT进行标价。我们添加了英式拍卖模式,让市场发现用户所出售NFT的价格。这些一开始针对买卖双方的体验,以及降低的gas费等,帮助我们逐渐发展这个市场。03
安全团队:Audius项目恶意提案攻击简析,攻击者总共获利约108W美元:7月24日消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,Audius项目遭受恶意提案攻击。成都链安安全团队简析如下:攻击者先部署恶意合约并在Audius: Community Treasury 合约中调用initialize将自己设置为治理合约的监护地址,随后攻击者调用ProposalSubmitted 提交恶意85号提案并被通过,该提案允许向攻击合约转账1,856w个AudiusToken,随后攻击者将获得的AudiusToken兑换为ETH,总共获利约108W美元,目前获利资金仍然存放于攻击者地址上(0xa0c7BD318D69424603CBf91e9969870F21B8ab4c)。[2022/7/24 2:34:31]
Alex在OpenSea的新角色
C@S:作为联合创始人和前CTO,你一直是OpenSea指数级增长中不可或缺的一部分。能否描述一下你在OpenSea中的角色以及日常工作情况?Alex:实际上,我们刚刚通过收购一家名为Dharma的公司,引进了一位新的首席技术官NadavHollander。我仍然在公司工作,但正在向专注于开发者生态系统、安全研究和最近宣布的风险投资项目方向过渡。我的日常工作通常就是围着这三件事转,外加一些入职培训工作。我们的开发者生态系统现在真的只限于那些已经深入研究NFT的人,它并没有真正满足那些只想点击一个按钮就能修补智能合约的开发者。因此,我们正在努力改善开发者体验,以及努力改善自下而上的漏斗反馈,以便当开发者有问题、拉取请求或功能需求时,我们可以及时与他们互动,明确应该将哪些内容融入我们的平台。在安全方面,上周Opensea与大约20家公司进行合作,推出了一个NFT安全小组,包括Coinbase、Adobe、Metamask、Rarible、NiftyGateway、MakersPlace等。该组织的目标是共享恶意合约和有危险性的NFT,尽可能地保护用户的安全。从某种意义上来说,web3是一个大的元平台。用户可以随便从一个网站跳到另一个网站,看到的数据是一样的。用户可以看到其所拥有的东西,因为用户真正以数字方式拥有它。所以每个网站都必须设置保护措施,避免用户意外受损失。因此,NFT的安全性是一个非常大的领域,并且需要得到正确处理。C@S:能否更深入地讨论一下你收购Dharma的动机?Alex:Dharma的团队实在很棒。在加密领域,几乎所有的公司都是机会主义者,他们冲进这场淘金热,建立起摇摇欲坠的基础。Dharma则是用优质的智能合约建立了一个坚实的基础,为用户提供驱动力。他们几年前推出的移动端app,的确提高了加密移动端app的标准。对于像Polygon这样的L2区块链来说,它是一个很棒的法币入口,用户体验和设计也很好。这是Devin和我在当时觉得最好的app。我们的首要任务是建立一个最可靠、最值得信赖、最包容的市场。这次的收购与上述目标一致,而且Dharma团队中的Brendan和Nadav等每个人在文化内涵方面都与OpenSea非常一致,其中的意义很大。C@S:前面提到的关于NFT安全小组倡议的内容,在NFT领域,你觉得有哪些具体的安全性挑战?Alex:你可以把NFT领域的安全性挑战想象成一个金字塔。在最底层,是区块链本身。以太坊非常稳固,没有太多关于其安全性问题被发现。一些新的链时不时会出现问题,例如,一些拒绝服务攻击的方法在以太坊上没有真正发生过。在区块链之上,有智能合约和各种类型的程序,明确指出NFT的拥有者。这一层的问题空间很大,有很多合约没有正确使用能让NFT可以在不同用户之间转移的「转出」功能。需要找到一种审计这些交易的好方法,当交易发生时,不会让用户失望。这一点非常重要,防止人们在NFT发展到下一个十亿用户时对其失去兴趣。智能合约之上,是元数据。我们已经看到有人试图将恶意元数据附加到NFT上。它是具有跨站点脚本攻击的元数据、对用户具有某种效果的元数据或网络钓鱼攻击。其中很多更类似于web2安全面。在金字塔的最顶端,是用户的互操作性。与某个项目无关的网站可能会诱使该项目的用户做一些非安全性的操作。这只是因为在web3中,平台不拥有用户的东西。具有所有权的东西,当用户去随机访问不可信的网站时,可能会陷入麻烦中。这有点像互联网刚出来的时候,有很多安全的网站,但也很容易陷入恶意网站。确保互联网安全受到多公司多平台的关注。对于NFT也是这样。04
慢雾:Spartan Protocol被黑简析:据慢雾区情报,币安智能链项目 Spartan Protocol 被黑,损失金额约 3000 万美元,慢雾安全团队第一时间介入分析,并以简讯的形式分享给大家参考:
1. 攻击者通过闪电贷先从 PancakeSwap 中借出 WBNB;
2. 在 WBNB-SPT1 的池子中,先使用借来的一部分 WBNB 不断的通过 swap 兑换成 SPT1,导致兑换池中产生巨大滑点;
3. 攻击者将持有的 WBNB 与 SPT1 向 WBNB-SPT1 池子添加流动性获得 LP 凭证,但是在添加流动性的时候存在一个滑点修正机制,在添加流动性时将对池的滑点进行修正,但没有限制最高可修正的滑点大小,此时添加流动性,由于滑点修正机制,获得的 LP 数量并不是一个正常的值;
4. 随后继续进行 swap 操作将 WBNB 兑换成 SPT1,此时池子中的 WBNB 增多 SPT1 减少;
5. swap 之后攻击者将持有的 WBNB 和 SPT1 都转移给 WBNB-SPT1 池子,然后进行移除流动性操作;
6. 在移除流动性时会通过池子中实时的代币数量来计算用户的 LP 可获得多少对应的代币,由于步骤 5,此时会获得比添加流动性时更多的代币;
7. 在移除流动性之后会更新池子中的 baseAmount 与 tokenAmount,由于移除流动性时没有和添加流动性一样存在滑点修正机制,移除流动性后两种代币的数量和合约记录的代币数量会存在一定的差值;
8. 因此在与实际有差值的情况下还能再次添加流动性获得 LP,此后攻击者只要再次移除流动性就能再次获得对应的两种代币;
9. 之后攻击者只需再将 SPT1 代币兑换成 WBNB,最后即可获得更多的 WBNB。详情见原文链接。[2021/5/2 21:17:59]
关于OpenSea
慢雾:Polkatrain 薅羊毛事故简析:据慢雾区消息,波卡生态IDO平台Polkatrain于今早发生事故,慢雾安全团队第一时间介入分析,并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约,该合约有一个swap函数,并存在一个返佣机制,当用户通过swap函数购买PLOT代币的时候获得一定量的返佣,该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量,也未在返佣的时候判断总返佣金是否用完了,导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型,防止意外情况发生。[2021/4/5 19:46:39]
C@S:OpenSea是否计划保持治理/所有权中心化,而不是成为DAO和一个社区拥有的金库?Alex:我们正在考虑这件事,并试图想出一些新点子。我们非常乐意反思我们如何去实施。但我们还没有任何计划去与大家分享这一点。C@S:与Rarible、SuperRare等平台以及即将推出的CoinbaseNFT和GamestopNFT平台相比,OpenSea的竞争优势是什么?Alex:「可选择性」是我们最大的一个优势。我们花了很多时间确保来自世界各地的NFT在OpenSea上正确展示。我们正在努力成为一个更广阔的市场,涵盖每个主要的NFT区块链、每种类型的元数据、每种类型的图像、每种类型的NFT附件,并确保用户找到的信息(数量、关注度、交易、账户历史、以前的交易发生在什么平台上)是准确的。我们在这些功能上花费了比其他平台更多的时间,并且我们尝试尽可能全面,让人们清楚地了解整个NFT世界。C@S:OpenSea成立于2017年底,紧随其后的是2018/2019熊市。你是如何熬过熊市的?你对创业者有什么建议吗?Alex:对我来说最重要的是开发人员。即使在OpenSea上的交易量不是很大,或者使用量持平或下降时,我们看到的开发人员和创作者仍在不断尝试很酷的新事物。他们会突然出现,只是发现一种使用NFT的新方法,或者一种可以连接到NFT的新型艺术,让这个领域不断地令人兴奋。就创新的开发者数量而言,它的波动性远低于市场。其留存率很高,并且留存率与ETH的数量或价格无关。所以这也是一个令人兴奋的信号。C@S:你现在的团队有多大?自去年以来增长了多少?Alex:我们的团队目前大约有110人。去年这个时候,我们大约有10个人。增长了11倍。
Force DAO 代币增发漏洞简析:据慢雾区消息,DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现: 在用户进行 deposit 操纵时,Force DAO 会为用户铸造 xFORCE 代币,并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度,当用户的授权额度不足时 transferFrom 函数返回 false,而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行,xFORCE 代币被顺利铸造给用户,但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查,以避免此问题的发生。[2021/4/4 19:45:30]
头条 币安宣布推出支付技术公司Bifinity,作为其官方法币-加密货币支付提供商据官方消息,币安周一宣布推出支付技术公司Bifinity.
过去两年,DeFi市场呈井喷式增长。特别是流动性挖矿的兴起,也带动了钱包市场的繁荣。数据显示,2020年排名前10的数字资产钱包总体访问量高达1.4亿次;全球钱包用户在2021年Q1已经突破60.
本文梳理自DeFi研究员TheDeFiEdge在个人社交媒体平台上的观点,律动BlockBeats对其整理翻译如下:与去年年底相比,Avalanche的热度似乎有所衰减.
Odaily星球日报译者|Moni 原油价格在时隔14后年再次突破每桶100美元大关,对于比特币来说,这似乎是个后期看涨的利好.
在我们深入研究购买或创建NFT之前,我们首先需要回答一个问题:我们如何选择购买哪种NFT?购买NFT有很多主观原因,如美学、情感共鸣和社会价值。与所有有价值的物品一样,稀缺性也起着重要作用.
眼看耐克和阿迪在NFT世界里玩得风生水起,彪马终于坐不住了。近日,国际第三大运动品牌、德国上市公司彪马在推特上把“名字”改了,从此前的PUMA改为“PUMA.eth”.