作者:dily_xz
看到那么多无脑吹Blur的服了,APT空投吹APT,Blur空投吹Blur
今天仔细研究了一下他们产品,写个总结记录一下,顺便横向对比一下其他交易市场,先上结论:
满足极少用户的产品,而且目前跨链交易的Gas费控制极差,不建议使用。
1)为了方便阐述我的想法,画了一张图方便解释,顺便也整理一下思路简单来说,NFT交易用户可以分三部分:NFT小白用户、普通用户、专业人士。
安全团队:Rubic被攻击事件简析:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Rubic项目被攻击,Beosin安全团队分析发现RubicProxy合约的routerCallNative函数由于缺乏参数校验,_params可以指定任意的参数,攻击者可以使用特定的integrator来让RubicProxy合约可以几乎零成本的调用自己传入的函数data。攻击者通过调用routerCallNative函数,把所有授权给RubicProxy合约的USDC全部通过transferFrom转入了0x001B地址,被盗资金近1100个以太坊,通过Beosin Trace追踪发现被盗资金已经全部转入了Tornado cash。[2022/12/25 22:06:32]
2)人数最多的的用户,他们对钱包原理不是特别清楚,也没有太高的安全意识,还按照Web2的习惯看待NFT产品所以针对这些用户有好多产品,比如币安的NFT交易所、TP,不安全,但是方便啊但是目前这些用户是最多的,但是还没有哪个平台完全满足这些人的需求,简单、安全、方便
Beosin:SEAMAN合约遭受漏洞攻击简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,2022年11月29日,SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时,都会将SEAMAN代币兑换为凭证代币GVC,而SEAMAN代币和GVC代币分别处于两个交易对,导致攻击者可以利用该函数影响其中一个代币的价格。
攻击者首先通过50万BUSD兑换为GVC代币,接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币,此时会触发合约将能使用的SEAMAN代币兑换为GVC,兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD,接下来在BUSD-GVC交易对中将BUSD兑换为GVC,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,会消耗BUSD-GVC交易对中GVC的数量,从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD,获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),将持续关注资金走向。[2022/11/29 21:10:04]
3)其实目前市场的核心力量在腰部用户,也就是普通用户他们已经可以熟练的使用钱包了,而且对各种钓鱼方式也比较注意,各个Web3产品也如数家珍这个市场也是目前厮杀比较激烈的区域,包括龙头Opensea、Element、X2Y2、Looks等平台。
Beosin:ULME代币项目遭受黑客攻击事件简析:金色财经报道,10月25日,据Beosin EagleEye 安全预警与监控平台检测显示,ULME代币项目被黑客攻击,目前造成50646 BUSD损失,黑客首先利用闪电贷借出BUSD,由于用户前面给ULME合约授权,攻击者遍历了对合约进行授权的地址,然后批量转出已授权用户的BUSD到合约中,提高价格ULME价格,然后黑客卖掉之前闪电贷借出的ULME,赚取BUSD,归还闪电贷获利离场。Beosin安全团队建议用户用户取消BUSD对ULME合约的授权并及时转移资金减少损失。[2022/10/25 16:38:21]
4)还有就是提到Blur,他是一些专业人士需要的平台,追求原教旨主义、专业的交易平台、注重交易成本之前这个领域一直是Gem和Genie的区域,现在Element也支持聚合交易,可以满足跨市场扫货的需求,Gas费用还便宜现在Blur是比这几家还要极致,做的更加的专业化和细分
慢雾:Inverse Finance遭遇闪电贷攻击简析:据慢雾安全团队链上情报,Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。
2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。
3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。
4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。
针对该事件,慢雾给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/6/16 4:32:58]
5)但是越往上用户是越少的,也就是说Blur的目标人群极少,会比Gem和Genie还少这是最大的问题,他的天花板太低了,甚至就是个地板的用户量还有他的UI,因为他大量的使用了像素风格,像素风格喜欢的人很喜欢,不喜欢的人是真不习惯,大多数人知道像素风么
慢雾:Polkatrain 薅羊毛事故简析:据慢雾区消息,波卡生态IDO平台Polkatrain于今早发生事故,慢雾安全团队第一时间介入分析,并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约,该合约有一个swap函数,并存在一个返佣机制,当用户通过swap函数购买PLOT代币的时候获得一定量的返佣,该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量,也未在返佣的时候判断总返佣金是否用完了,导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型,防止意外情况发生。[2021/4/5 19:46:39]
6)还有就是他的设计理念,不太在乎普通人的感受,我虽然买了很多NFT但是自认算是普通交易者我没有找到关于合集的信息,包括Twitter、官网等信息,更不用说基础的数据分析了。这就把太多人挡在门外了。
7)我针对单个NFT分别测试了Element、Opensea、Blur的Gas费用Element:4.63Element:5.14Opensea:5.07Blur:10.5因为大部分都是聚合Opensea的,所以Opensea最便宜,但是Element自有更便宜。
8)大家经常使用的是聚合,Element因为是聚合了Opensea所以肯定会比Opensea高一点。但是,但是BlurGas居然高达10.5u,我当时就蒙了……最后才发现是他的业务逻辑太复杂了,Gas费用飙升,但是只是聚合交易而已你在做什么呢?当然除了单个的我还做了批量扫货的聚合交易测试。
9)针对5个NFT批量测试了Element、Opensea、Blur的Gas费用Element:22.33Element:17.77Opensea:15.59Blur:56.38太贵了,虽然只是预估价格,我还专门买了NFT测试,结果也是是真贵,他的聚合合约逻辑太复杂了。
10)大家也在找各自的定位,但是Blur目前的定位非常不看好而且真正的专业交易者会直接调用OpenseaAPI不会经过他的合约再来一道,便宜、快、安全。
目前关注Opensea的求新求变,Element和X2Y2根据社区用户的产品迭代。以上,供大家参考。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。