加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

利用OpenSea「漏洞」,攻擊者低買高賣他人NFT_NFT:OSEA幣

Author:

Time:1900/1/1 0:00:00

作者:茉莉

1月24日,OpenSea多名用戶的NFT被人以過期的低價買入,并被快速高價轉賣,受影響的NFT資產包括BoreApeYachtClub、CoolCats、CyberKongz等。其中一個BoreApeYachtClub以0.77ETH的舊價格被購買,并在一小時內以84.2ETH轉售。該NFT的持有者在推特上表示,他近期并未以0.77ETH的價格出售該NFT。

交易頁面顯示,名為jpegdegenlove的OpenSea賬號操作了這些低買高賣的NFT,截至1月25日凌晨,其以太坊錢包已經擁有價值超74萬美元的ETH。

攻擊者能夠成功「狙擊」別人的NFT,源于OpenSea的NFT「銷售列表」取消功能被忽略。在這個全球最大的NFT交易平臺上,NFT掛單者真正撤單必須支付Gas取消銷售列表,否則掛單即便在前端UI不顯示,鏈上也依然有效,仍能被人以原先的掛單價格在其他平臺上購買。

鏈上分析師:目前PYUSD總供應量為2690萬枚:金色財經報道,據21Shares母公司21co鏈上分析師Tom Wan披露數據顯示,PYUSD已添加到Dune Analytics儀表板。該合約于2022年11月部署,目前代幣的總供應量為2690萬枚。[2023/8/8 21:32:17]

DeFi開發者yakirrotem解釋,攻擊者可能保存了用戶在早先掛售時的鏈上簽名列表,該列表公開可見,能被API抓取,以過期低價購買用戶的NFT。這個Bug一旦被攻擊者利用,他人的NFT便會被收入囊中,進而轉賣。

截至發稿前,OpenSea未就用戶損失和「銷售列表」的前端問題公開發表回應。

用戶?NFT?以過期價遭攻擊者低買高賣

「OpenSea上的一個錯誤允許人們以舊價格購買Ape。這只Ape以?0.77ETH的價格被購買,40?分鐘后以84.2ETH的價格轉售。」1月24日,多條類似推文提示OpenSea用戶,盡快將自己的NFT資產轉移至從未在OpenSea上簽名過NFT銷售的錢包中。

Ripple推出面向企業的加密貨幣流動性平臺Ripple Liquidity Hub:4月14日消息,據官方博客,Ripple宣布正式推出面向企業的加密貨幣流動性平臺“Ripple Liquidity Hub”,旨在為企業提供簡易、無縫的方式來管理其加密貨幣流動性需求。根據該博客,Ripple Liquidity Hub平臺24/7/365全天候可用,利用智能訂單路由在多個流動性場所(包括做市商、交易所和場外交易柜臺)以優化的價格采購各種數字資產。最初支持美元、BTC、ETH、ETC、BCH和LTC,但未提及XRP。而其在2021年宣布該計劃時,曾宣布支持XRP。[2023/4/14 14:04:21]

一枚ApeNFT以0.77ETH被低吸后高賣

被低價買入又轉手高價賣出的NFT不僅涉及BoreApeYachtClub項目,還包括MutantApeYachtClub、CyberKongz和CoolCats等NFT項目。

Bitfinex Alpha:比特幣價格上漲期間衍生品交易量保持在正常水平:3月21日消息,Bitfinex近期的一篇文章表示,在美國央行恢復金融穩定措施的推動下,比特幣價格大幅上漲。3月19日,在現貨購買大量涌入的推動下,比特幣的價格創下今年新高(28472 USDT),比特幣非零余額錢包地址數已飆升至近4500萬,新地址的指數移動平均線也呈持續上升趨勢。

在比特幣永續期貨市場中,資金費率也幾乎沒有變化,這表明在價格上漲期間衍生品交易量保持在正常水平,現貨購買正在支撐市場走勢。

以太坊供應量也在以越來越快的速度減少。如果對以太坊的需求繼續增長,這將進一步增加以太坊gas費,并最終進一步加快其通貨緊縮速度(這對以太坊投資者來說是一個看漲的情景)。[2023/3/21 13:16:47]

「伙計們,為什么我的Ape只賣?0.77?」推特用戶T_BALLER6正是受害者之一,他發布推文稱,他近期并沒有將這枚Ape以?0.77ETH的價格出售。

現貨黃金日內下跌1%,原油下跌超5%:金色財經報道,行情顯示,現貨黃金日內下跌1.00%,現報1788.82美元/盎司,布倫特原油跌破107美元/桶,為5月19日以來首次,日內大跌6.1%,WTI原油日內重挫7%,現報102.76美元/桶。[2022/7/5 1:53:02]

另一名維特名為ToastVirtual的NFT收藏家也稱,周一醒來發現他的Ape以舊的掛單價格6.66ETH被售出,「這只Ape沒有在錢包之間轉移。」?

從OpenSea交易記錄頁面可見,低吸高賣的賬戶名為jpegdegenlove,該賬戶在幾個小時內不斷以舊價格買入多個知名的NFT,然后又轉手高價賣出。區塊鏈安全機構Peckshield的相關推特公布了攻擊者地址并提醒,OpenSea有一個前端問題,攻擊者獲得了大約332ETH。按照事發當時ETH的報價2256美元,這些332ETH折合約74萬美元左右。

以太坊L2網絡總鎖倉量為45.9億美元 近7日跌幅10.17%:金色財經報道,L2BEAT數據顯示,截至6月13日,以太坊Layer2上總鎖倉量為45.9億美元。近7日跌幅10.17%,其中鎖倉量最高的為擴容方案Arbitrum,約22.7億美元,占比49.59%。其次是dYdX,鎖倉量9.59億美元,占比20.88%。Optimism占據第三,鎖倉量7.82億美元,占比17.04%。[2022/6/13 4:20:44]

這些收藏家的NFT為何會被人以過期的低價買走?

有推特用戶附圖答疑稱,OpenSea和另一個NFT交易平臺Rarible之間存在一個問題,「如果你沒有在OpenSea上正確地刪除NFT掛單,這個問題就會被利用。」

答疑圖片顯示,如果賣家掛售一件NFT商品,后來決定刪除掛單,那么正確的方式是支付一筆Gas費用來取消它,如果用戶為了節省Gas費,只是簡單地將NFT轉移到一個不同的以太坊地址,盡管OpenSea的前端掛單不顯示了,但當該NFT被發送回原始地址后,它仍然可以在Rarible上被購買。

OpenSea的這個「前端問題」事實上早已以答用戶問的方式出現在其幫助中心的頁面上。在「我如何取消或調低NFT清單的價格」一問中,OpenSea答復,「請注意,轉移NFT不會自動取消清單。在將NFT轉移到新的錢包之前,您要取消列表。這確保了該列表不能通過OpenSea實現……取消列表需要支付Gas費,這樣才能使其他用戶無法使用該NFT。」

如此看來,被人低價買走的NFT很可能是一些用戶沒有執行掛單取消操作,導致被攻擊者利用。

如何在OpenSea避免「未撤單」疏漏?

OpenSea「銷售列表」取消功能留下的「空子」曾在去年12月底就有披露,此次規模性爆發后導致用戶資產受損。

推特名為「yakirrotem」的DeFi開發者、NFT收藏家因此將OpenSea評價為NFT世界的「過時產品」,「它緩慢,用戶體驗糟糕,用的是舊的智能合約代碼,這讓你支付了更多的Gas費,對交易者沒有好處,他們還有危險的Bug。」

yakirrotem羅列OpenSea的運行方式稱,該平臺為了節省Gas費,采用了鏈下呈現價格、鏈上操作簽名交易的方式運行整個系統,「當你列出一個待售的項目時,你簽名的數據證明你愿意以這個價格出售你的NFT,而簽名保存在OpenSea的鏈下數據庫里。當有人想購買你的NFT時,他會發送給他的智能合約,但這一步的簽名和銷售信息是在鏈上進行驗證的,然后才發生轉讓。」

yakirrotem強調,當用戶取消一個列表時,會被要求執行一個交易,「你可能會問『為什么』,原因是有人可能保存你此前的簽名清單,因為它是公共的,例如Rarible平臺甚至OSAPI,并在以后使用它。即使你的掛單從UI頁面上刪除了,但其實上只有鏈上交易才會保存你取消該交易的事實,即便有人試圖使用你之前簽署的數據,鏈上驗證也將拒絕該交易。」

此外,將先前掛單的NFT轉移回列出它的錢包,也不會阻止這個錯誤的發生,「重新列出也幫不了你,除非你確保取消了所有之前的清單。」

NFT收藏家圖解OpenSea前端問題

「Rarible這樣的網站會保存舊的列表,現在攻擊者可以使用這些信息來執行銷售,因為OpenSea的智能合約相信這個銷售是有效的。」yakirrotem指出,OpenSea的另一個大問題是他們沒有一次性的訂單簿,「所以假如你6個月前創建了一個訂單,然后在4個月前又創建了另一個訂單,即便你在1天后取消了它,第一個訂單仍然有效,盡管它在UI頁面上不可見。」

此次「漏洞」造成用戶NFT被攻擊者「狙擊」后,也有一些聲音認為是用戶自身保管NFT不當所致。而在yakirrotem看來,OpenSea的這些問題并非不可解決,因為另一家最近興起的NFT交易平臺LooksRare就支持用戶一次性取消所有訂單,「即使你不知何故忘記取列表,這也可以確保你更安全。」

如何復查自己的NFT舊掛單是否執行了取消操作?

yakirrotem介紹,用戶可以登錄Rarible平臺查看之前的列表是否還在,「然而,如果你想要100%的安全,那么就把你的NFT轉移到另一個從未在OpenSea上架過的錢包里。」

Tags:NFTPENSEAENSNFTPPENG CoinOSEA幣ens幣未來估值

Gate交易所
晚間必讀5篇 | 探討以太坊EIP-1559弊端:仍不夠穩定_以太坊:加密貨幣市場行情走勢圖

1.金色觀察|微軟“鈔能力”再現:以游戲撬動元宇宙支點2021年被稱為元宇宙元年,除了Facebook將名字改成Meta表明態度之外,其他科技巨頭也開始了自己縱橫捭闔的布局之路.

1900/1/1 0:00:00
12.27日Keiba Coin創始人楊明翰先生專訪_BAC:bacon幣有前景嗎

KeibaCoin創始人楊明翰:中國有望在10年內成為全球最大賽馬國之一 12月12日,全球首個區塊鏈賽馬項目KeibaCoin全球行在深圳、長沙、杭州、武漢、成都、廣州等六個城市隆重舉行.

1900/1/1 0:00:00
加拿大連鎖餐廳Tahini’s報告稱 應對疫情的BTC投資獲利300%_比特幣:AMA

一家位于加拿大的中東連鎖餐廳將其法定現金儲備轉換為比特幣一年多后,店主表示,這一舉措在新冠疫情期間幫助拯救了公司.

1900/1/1 0:00:00
SocialFi投資工具Bit.Store,又有新征程_STO:TOR

“據HuobiPrime顯示,Bit.Store生態治理通證STORE以IEO的形式登錄Huobi,這將是Bit.Store生態近期的重大進展之一.

1900/1/1 0:00:00
Polygon生態周報(1.16-1.23)_LYG:POLYWHIRL

生態大事件 EIP-1559升級在Polygon主網上線備受關注和期待的以太坊改進方案1559已經在在Polygon鏈上,帶來了原生Matic幣的燃耗以及更清晰的費用可見性.

1900/1/1 0:00:00
數字資產價值投資(十八)NFT_NFT:數字資產

作者?|?武大餅 █當名人做某事時,它會受到極大的歡迎,這就是最近在加密貨幣領域發生的事情。名人和藝術家正在出售他們的加密貨幣藝術品.

1900/1/1 0:00:00
ads