深度解析Opensea挂单“漏洞” 公开订单被黑客盯梢

近日Opensea出现了多个低价成交的头部项目,疑似挂单有bug被黑客攻击,黑客通过低价买到头部的NFT项目BoredApeYachtClub等等,再立马高价售出,以此获利数百ETH,以下为分析结果。

先看OS挂单逻辑:出售NFT时授权--》确定价格--》签名--》挂单完成。这时候签名信息会保存在OS的中心化服务器,并且会有API对外开放。

正常交易流程中,买方购买完后这个订单的签名信息就作废。

“被攻击”的情况中,用户在地址A下挂了一个价格为1ETH的NFT卖单,这时候可能会再把NFT转到地址B。后面NFT价格如果涨到了10ETH这个NFT再回到A地址,OS上这个NFT依然会以1ETH的挂单价出现,这时候立马会被人购买,卖家会遭受巨大的差价损失。而买方可以立马转手卖出赚取差价,下面黑客地址就是,低价买入三个BoredApeYachtClub并立马卖出赚取了280ETH,约70万美金。

平安银行:深度借助区块链等科技手段加快推进数字化经营:10月21日消息,平安银行股份有限公司发布2021年第三季度报告。报告中指出,依托平安集团“金融+科技”优势,深度借助人工智能(AI)、区块链、物联网等科技手段驱动业务创新,加快推进数字化经营,支持全行业务均衡发展及零售转型战略落地。

平安银行“星云物联网平台”深度融合中台化、敏捷化理念,基于物联网、AI、云计算、区块链等技术,实现数据“采集、确权、溯源、验真”,有效解决银企信息不对称痛点,提升产品线上化、模型化和自动化水平,打造场景属性强、科技属性强、经营模式轻的供应链金融。[2021/10/21 20:46:01]

IntelliShare与BlocKKnew达成深度战略合作:近日,基于区块链技术的底层网络协议“IntelliShare(INE)”与区块链运营机构BlocKKnew达成深度战略合作关系,双方将在策略宣传以及逻辑运营方面开展深度合作。

据悉IntelliShare计划在五月中旬正式启动INE TestNet测试网全球测试,届时将向全球社区开放测试。IntelliShare成立于2017年底,由极豆资本、想象力基金、科银资本、共识实验室、Lambda生态基金、JLab实验室、INA Capital等十余家区块链机构与传统机构联合战略投资。[2020/4/20]

这个问题对NFT交易平台方有点棘手:OS把订单信息开放在了API中,公开透明,科学家可以通过API拿到订单信息。所以上文中的这个NFT一旦回到A地址,就存在被立马买走的风险。就算OS的功能立马调整,不再展示1ETH的卖单信息,又或者是直接从数据库删除order信息,都解决不了这个问题。

国资委副主任:当前区块链等技术加快演进 深度融入社会各个领域:3月4日,《学习时报》头版头条刊发国资委副主任、党委委员翁杰明署名文章《国有企业要作推动数字化智能化升级的排头兵》。文章指出,加快数字化智能化升级是抢抓科技和产业革命历史机遇的重大举措。当前,云计算、大数据、区块链、人工智能、移动互联网等基础性技术和前沿热点技术加快迭代演进,深度融入社会各个领域,不断迸发创新活力,信息化日益成为推动经济社会发展的先导力量,数字经济正在成为全球产业变革和经济增长的核心要素,世界各主要国家都把数字化智能化升级作为谋求国际竞争新优势的战略方向。[2020/3/5]

并且现在关闭API也解决不了这个问题,之前存量的挂单信息可以视为已经完全泄露。而且可以从OS界面用爬虫爬出order信息。所以只要准备足够充分,NFT再次回到A地址,黑客可以在任何地方以1ETH买走这个NFT。

当然平台可以在用户转走NFT的时候提醒cancelorder,这个操作后将作废掉之前挂单的签名信息,但会上链消耗GASFee,挂单多次需取消多次。Opensea的撮合合约里也没有一次取消多个order的方法,这是其他OS竞品交易市场可以进行优化的功能。可以一键取消多个挂单,减少用户操作,不过GASFee肯定是少不了的。

平台提醒目前看来是一个比较简单快速的方式,但是是用户也可以在其他平台直接转走NFT。比如我在OS挂了个卖单,我也可以imToken、Looksrare、Mintverse等其他平台直接转走NFT。总结一下就是没法保证NFT挂单签名信息百分百和NFT转移一起失效。这个问题对NFT交易平台来说有点无解,不仅仅是OS,任何NFT交易平台都一样。除非是中心化的交易平台,所以对平台来说只能不断的提醒引导用户,提高用户风险意识。

对用户而言,如果知道这个漏洞后注意别再把NFT转回到之前的地址就没问题。不过这个行业用户知识水平参差不齐,转错ERC20到合约地址的情况都时有发生,NFT这个问题个人觉得后面也会一直有。也有用户在挂了卖单情况下去进行质押之类的操作,这种情况取回来只能到原地址。这种情况如果有价格差,肯定有被撸走的风险。如果有这种情况的用户,可用先取消掉授权,再取回NFT。

2022肯定还会出现一大批NFT交易市场,数据完整性,实时性,准确性;产品安全性,可用性,稳定性;肯定会成为未来NFT交易市场的竞争点。用户也需要提高安全意识,保管好自己宝贵的NFT。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

FTTTradFi主流化所需的三要素

暴走时评:“颠覆金融行业的改革”是加密货币的主要自我营销叙事之一,但该行业在获得传统金融业的认可之前,还需要具备一些基本要素.

比特币NFT使著作权更健全还是更脆弱?

NFT是利用区块链的加密技术,将JPG档案或影片加上独一无二的识别代码的新型数位资产。将数位档案的所有权资讯储存在区块链,即可防止伪造或窜改,并可透过NFT判断数位作品的真伪,因此越来越多人将其活用于数位艺术品、数位道具等多元的交易领.

[0:0ms0-1:219ms