NFT市场OpenSea一直以来都很吸引眼球。截止8月11日,区块浏览器Etherscan的数据显示,OpenSea的主要智能合约,在过去24小时内消耗的Gas比以太坊上的任何其他合约都多,占总消耗量的14.61%。
然而,在OpenSea的市场上却发生了一些奇怪的事情。
一些以太坊钱包似乎在NFT市场上以惊人的速度取消了订单。截止撰稿时,使用OpenSea合约的最后1000笔交易中,有超过四分之一被取消。大多数其他交易涉及匹配NFT买家和卖家。
安全公司:CoFiXProtocol项目遭受价格操控攻击,攻击者获利约14万美元:据成都链安安全舆情监控数据显示,CoFiXProtocol项目遭受价格操控攻击。成都链安安全团队对此次攻击事件分析后,发现攻击者先从先闪电贷借出大量BSC-USD,再用BSC-USD兑换出DCU。然后攻击者通过利用Router合约的swapExactTokensForTokens没有校验to地址是否是msg.sender的漏洞,将对Router合约有大额授权的to地址中的BSC-USD经过BSC-USD -> DCU -> PRC的兑换路径兑换为RPC,导致LP中DCU的价格升高,最后通过前面兑换的DCU重新高价兑换成BSC-USD从而获利。目前攻击者实施了三次攻击,总计获利约145,491 BSC-USD(价值14万美元),已经兑换为BUSD并转移到攻击者的其他地址(0x5443...d7D6)中 。对此,成都链安安全团队建议用户在对合约授权时按需授权,授权值不要超过本次需要转移的代币的数量,避免因为过多授权造成意外损失。[2022/6/2 3:57:41]
数字资产研究公司TheBlock的创始人迈克·杜达斯对这种频繁取消现象提出了一种可能的解释:机器人。
成都链安:bDollar项目遭受价格操控攻击,目前攻击者获利2381BNB存放于攻击合约中:据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,bDollar项目遭受价格操控攻击。攻击者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻击交易eth:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
攻击合约:0x6877f0d7815b0389396454c58b2118acd0abb79a
目前攻击者获利2381BNB,存放于攻击合约中。[2022/5/21 3:32:53]
价格较低
“目前,机器人正在破坏OpenSea,”杜达斯发推文说,“以低于最低价格的方式出价,然后在被接受但在执行之前取消出价。”
慢雾xToken被黑事件分析:两个合约分别遭受“假币”攻击和预言机操控攻击:据慢雾区消息,以太坊 DeFi 项目 xToken 遭受攻击,损失近 2500 万美元,慢雾安全团队第一时间介入分析,结合官方事后发布的事故分析,我们将以通俗易懂的简讯形式分享给大家。
本次被黑的两个模块分别是 xToken 中的 xBNTa 合约和 xSNXa 合约。两个合约分别遭受了“假币”攻击和预言机操控攻击。
一)xBNTa 合约攻击分析
1. xBNTa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 BNT,使用的是 Bancor Netowrk 进行兑换,并根据 Bancor Network 返回的兑换数量进行铸币。
2. 在 mint 函数中存在一个 path 变量,用于在 Bancor Network 中进行 ETH 到 BNT 的兑换,但是 path 这个值是用户传入并可以操控的
3. 攻击者传入一个伪造的 path,使 xBNTa 合约使用攻击者传入的 path 来进行代币兑换,达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用 ETH/BNT 交易对进行兑换的限制,进而达到任意铸币的目的。
二)xSNXa 合约攻击分析
1. xSNXa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 xSNX,使用的是 Kyber Network 的聚合器进行兑换。
2. 攻击者可以通过闪电贷 Uniswap 中 ETH/SNX 交易对的价格进行操控,扰乱 SNX/ETH 交易对的报价,进而扰乱 Kyber Network 的报价。从而影响 xSNXa 合约的价格获取
3. 攻击者使用操控后的价格进行铸币,从而达到攻击目的。
总结:本次 xToken 项目被攻击充分展现了 DeFi 世界的复杂性,其中针对 xSNXa 的攻击更是闪电贷操控价格的惯用手法。慢雾安全团队建议 DeFi 项目开发团队在进行 DeFi 项目开发的时候要做好参数校验,同时在获取价格的地方需要防止预言机操控攻击,可使用 Uniswap 和 ChainLink 的预言机进行价格获取,并经过专业的安全团队进行审计, 保护财产安全。详情见官网。[2021/5/13 21:57:48]
TheBlock创始人解释说,该策略允许机器人的创建者能够降低价格,然后以更低的价格收购资产。
动态 | “炒金炒银”局披上区块链外衣:100倍杠杆 平台可随意操控软件显示价格:近日,每日经济新闻记者暗访了一家提供高达100倍永续合约杠杆该平台,对方明确表示,做他们的代理商,只要能带来交易,可返佣77%的头寸(客损),再加70%的手续费。而另一家知名交易所同样如此,“做代理可以返75%的客损,75%的手续费。”对此,币圈资深研究专家称,这跟区块链一点关系都没有,无非是把筹码变成数字货币而已。包括非法炒白银、炒外汇的平台,他们控制不了国际外汇的价格,但是他们可以控制软件上显示的价格。爆仓或者限制提币都是常见的手段,又或者直接卷款跑路。[2019/1/14]
知名的Solidity开发者foobar说,机器人观察是否有人会接受他们的出价,然后通过取消出价进行先发制人,因此交易接受失败。
“这让用户感到沮丧和失望,他们会再次尝试,但这次是以较低的价格。”foobar表示。
杜达斯说,机器人在出售NFT的过程中可以玩相同把戏,机器人可以提出报价,看看谁愿意购买,然后撤回报价并以更高的价格重新报价。
altsanonymous.eth地址可能就是这样的机器人。根据Etherscan的数据,两天前它在OpenSea上连续取消了九笔交易。
OpenSea上的机器人入侵对于最近风靡一时的NFT社区来说可能是一个热门话题。NFT领域被视为创作者为狂热的收藏家,其数字作品货币化的一种手段,而不是一个简单的机器人操纵价值的地方。但是在撰写本文时,最便宜的CryptoPunk售价为15.2万美元,其注已经越来越高。
OpenSea的Discord上的一些用户对拍卖过程感到困惑。其中一个叫gCAN的用户声称自己是NFT拍卖中出价最高的人,但却没有收到代币。“我必须做些什么吗?这不是自动的吗,有没有可能是卖家在最后一秒取消了?”对此,他们发出疑问。
取消的竞标
许多用户还报告了一个"执行被撤销"的错误,OpenSea表示这通常是由于项目被锁定或不可转让造成的。
取消出价不是免费的。昨日的交易价格超过了10美元。但是杜达斯在推特上指出,“根据过去几天我在众多收藏家和系列中听到的取消竞价的数量,该策略肯定是有利可图的。”
OpenSea用户希望找到取消他们的NFT产品供应的其他原因。一位在推特上化名davis的加密货币影响者说,有人把一个罕见的Yat挂上了交易,只是想看看他们能发现什么。据davis称,有人出价21ETH用于购买这个三重太阳镜面部表情符号。
21ETH竞标了这个表情符号字符串
此外,更普遍的是,OpenSea的流量已经造成了问题,用户在该项目的Discord上谈论等待铸造NFT完成的时间。“如果OpenSea有代币,我们就可以购买更多服务器,”一位在推特上化名为Jebus的有影响力的交易员打趣道。
机器人旋涡
目前,OpenSea没有自己的代币,但是由于占据了所有以太坊Gas费用的近15%,OpenSea似乎并不需要一个代币来刺激增长。
随着关于机器人的传言不断涌现,用户抱怨NFT渲染速度和支持票的响应速度缓慢,以及八个工程职位需要填补,OpenSea仍有很多问题需要解决。
尽管如此,分析提供商Glassnode表示,该市场在8月份的交易量有望达到10亿美元,而在一个月前,OpenSea创下了3.25亿美元的纪录。
撰文:OwenFernau来源:巴比特
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。