链资讯 链资讯
Ctrl+D收藏链资讯

深度解析Opensea挂单“漏洞” 公开订单被黑客盯梢

作者:

时间:

近日Opensea(OS)出现了多个低价成交的头部项目,疑似挂单有bug被黑客攻击,黑客通过低价买到头部的NFT项目Bored Ape Yacht Club等等,再立马高价售出,以此获利数百ETH,以下为分析结果。

先看OS挂单逻辑:出售NFT时授权(授权完成以后OS的撮合合约可以调用用户地址的这个NFT)--》确定价格--》签名--》挂单完成。这时候签名信息会保存在OS的中心化服务器,并且会有API对外开放。

正常交易流程中,买方购买完后这个订单的签名信息就作废。

“被攻击”的情况中,用户在地址A下挂了一个价格为1ETH的NFT卖单,这时候可能会再把NFT转到地址B。后面NFT价格如果涨到了10ETH这个NFT再回到A地址,OS上这个NFT依然会以1ETH的挂单价出现(亲测确实会出现,但是用户可能不知道),这时候立马会被人购买,卖家会遭受巨大的差价损失。而买方可以立马转手卖出赚取差价,下面黑客地址就是,低价买入三个Bored Ape Yacht Club并立马卖出赚取了280ETH,约70万美金。

这个问题对NFT交易平台方有点棘手:OS把订单信息开放在了API中,公开透明,科学家可以通过API拿到订单信息。所以上文中的这个NFT一旦回到A地址,就存在被立马买走的风险。就算OS的功能立马调整,不再展示1ETH的卖单信息,又或者是直接从数据库删除order信息,都解决不了这个问题。

并且现在关闭API也解决不了这个问题,之前存量的挂单信息可以视为已经完全泄露。而且可以从OS界面用爬虫爬出order信息。所以只要准备足够充分,NFT再次回到A地址,黑客可以在任何地方以1ETH买走这个NFT。

当然平台可以在用户转走NFT的时候提醒cancel order,这个操作后将作废掉之前挂单的签名信息,但会上链消耗GAS Fee,挂单多次需取消多次。Opensea的撮合合约里也没有一次取消多个order的方法,这是其他OS竞品交易市场可以进行优化的功能。可以一键取消多个挂单,减少用户操作,不过GAS Fee肯定是少不了的。

平台提醒目前看来是一个比较简单快速的方式,但是是用户也可以在其他平台直接转走NFT。比如我在OS挂了个卖单,我也可以imToken、Looksrare、Mintverse等其他平台直接转走NFT。总结一下就是没法保证NFT挂单签名信息百分百和NFT转移一起失效。这个问题对NFT交易平台来说有点无解,不仅仅是OS,任何NFT交易平台都一样。除非是中心化的交易平台,所以对平台来说只能不断的提醒引导用户,提高用户风险意识。

对用户而言,如果知道这个漏洞后注意别再把NFT转回到之前的地址就没问题。不过这个行业用户知识水平参差不齐,转错ERC20到合约地址的情况都时有发生,NFT这个问题个人觉得后面也会一直有。也有用户在挂了卖单情况下去进行质押之类的操作,这种情况取回来只能到原地址。这种情况如果有价格差,肯定有被撸走的风险。如果有这种情况的用户,可用先取消掉授权,再取回NFT。

2022肯定还会出现一大批NFT交易市场,数据完整性,实时性,准确性;产品安全性,可用性,稳定性;肯定会成为未来NFT交易市场的竞争点。用户也需要提高安全意识,保管好自己宝贵的NFT。

标签:NFTETHORD1ETHNFTTETH最新消息ORDR币1eth币等于多少人民币

以太坊最新价格热门资讯
2021全年Etherscan更新了21项功能 指向了怎样的发展方向

2021这样的一年对于以太坊和更广泛的整个生态系统来说是非常重要的一年。随着DeFi和NFT这两样的发展和普及,越来越多的用户开始真正的接触和使用到区块链,而不仅仅再只是“区块链”这三个字。 虽然好的市场对终端用户来说是一件令人振奋和庆幸的事情,但对开发者或者建造者来说却意味着更多更艰难挑战。

10 个Web3 设计灵感网站

正如Twitter前首席执行官Jack Dorsey最近发的一条推文“你不拥有web3,但风险投资家拥有”,而Marc Andreessen在web3的评论后屏蔽了他,这在社区中引发了关于web3是否真的去中心化的讨论。然而,不可否认的是,Web3确实在技术和设计趋势方面带来了新的变化——这对于像我这样的UX/UI从业者来说是非常有趣的学习。

金色Web3.0日报 | Uniswap稳定币AMM市场份额较Curve占比已达89%

1.DeFi代币总市值:1373.46亿美元DeFi总市值 数据来源:Coingecko 2.过去24小时去中心化交易所的交易量:555.2亿美元过去24小时去中心化交易所的交易量 数据来源:Coingecko 3.DeFi中锁定资产:2280.7亿美元DeFi项目锁定资产前十排名及锁仓量 数据来源:defillama 1.NFT总市值:481。

V神再次批评跨链桥方案

1月20日,在一档线上采访节目上,Vitalik Buterin 再次强调跨链存在很大安全问题.他提到在单链中,您可以方便的恢复链,每个人都可以把资产恢复到初始状态。在多条链的情况下,如果资产出问题了,链的恢复问题就很大。

看似局的"走路赚钱" 阿迪达斯副总裁却表示令人“痴迷”?

近日,adidas副总裁、Runtastic首席执行官Scott Dunlap在社交媒体上发文表示“很高兴可以见证Move to Earn的起源,我认为在2022年,会有更多的人痴迷于“STEPN”。 所谓的Move to Earn,也就是“走路赚钱”,在加密领域掀起了不小波澜。不过提到走路赚钱,我们第一时间想到的是一个叫做“趣步”的庞氏局。

读懂NFT估值框架CACAU:从文化、美学 、社区 、资产和实用性切入

艺术块的聚集,资料来源:苏富比 2021 年标志着 NFT 的兴起——这是多么美好的一年!在这很短的一年时间内,我们见证了艺术创造力、技术创新和资金流入等在该空间的爆炸式增长。 我很高兴看到许多开发人员、创新者和艺术家将这项技术作为他们创作的新媒介进行试验。每个以有趣的新方式利用 NFT 的项目都让我不寒而栗。