NFT 借貸平臺 XCarnival 被盜3000 ETH 事件分析_NFT:THE

NFT借貸平臺@XCarnival_Lab大約7個小時之前被黑了，至少有3000個$ETH被盜。下面是該事件的簡要分析：

該NFT借貸平臺的合約有個bug：作為抵押品的NFT在取出后，其orderID仍然可用，可以此申請貸款。

有三個相關合約：xETH,錢在這里main.https://etherscan.io/address/0xb38707e31c813f832ef71c70731ed80b45b85b2d……?

?xNFT,NFT管理器.https://etherscan.io/address/0xb14b3b9682990ccc16f52eb04146c3ceab01169……?

以太坊合并前的最后一個區塊被用于鑄造NFT項目Vanity Blocks中的“The Last POW Block”:9月15日消息，以太坊在合并前的最后一個區塊（區塊高度15537393）僅包含一筆交易，該交易用于鑄造NFT項目VanityBlocks中的“The Last POW Block”，成本約為30ETH（48618美元）。該NFT在OpenSea上一小時前出價為10ETH。[2022/9/15 6:58:47]

?P2Controller,很多借貸限制條件的驗證者.

黑客https://etherscan.io/address/0xb7cbb4d43f1e08327a90b32a8417688c9d0b800a…從Tornado中拿出了干壞事的啟動資金.然后在OpenSea上購買了#BAYC5110。

蘇富比拍賣行聘請NFT藝術收藏家加入其數字藝術團隊:金色財經報道，NFT藝術家收藏家Brian Beccafico宣布加入蘇富比拍賣行，該拍賣行已經確認他已經加入了公司。據悉，蘇富比拍賣行在10月推出了自己的NFT平臺Metaverse。Beccafico是在蘇富比Metaverse創建之后加入其數字藝術團隊的。

目前，蘇富比通過多種銷售形式提供NFT，并在紐約、倫敦、巴黎和香港擁有一支專家團隊。（The Block）[2022/8/24 12:44:07]

他部署了一個總控合約0xf706…ca8dhttps://etherscan.io/address/0xf70f691d30ce23786cfb3a1522cfd76d159aca8d……,該合約生成了很多用來當女巫用同一個NFT進行借貸的馬仔合約，比如0x5338…3714https://etherscan.io/address/0x53386a82e55202a74c6d83c7eede7a80ba553714…….

巴塞羅那俱樂部或將發行官方NFT并進駐元宇宙:3月5日消息，西甲足球豪門俱樂部巴塞羅那主席瓊·拉波爾塔 (Joan Laporta) 在接受采訪時表示，近期，NFT 和元宇宙等區塊鏈產品和服務受到了很多關注，我們應該能夠向我們的會員、球迷提供符合俱樂部價值并產生有趣情感體驗的數字產品。

此外，拉波爾塔還宣布該俱樂部正在研究盡快推出其巴塞羅那首個 NFT 系列，但沒有提供有關該主題的更多細節。巴塞羅那有可能推出由俱樂部自己發行的加密貨幣，而不是與 Socios 合作發行的已經可用的粉絲 Token。（Bitcoin News）[2022/3/5 13:39:20]

首先，總控將BAYC轉給某個馬仔。馬仔然后調用xNFT中的pledgeAndBorrow()函數，抵押品為BAYC，但什么也沒貸。本步驟生成了一個orderID(43)。

NFT拍賣協議Burnt Finance完成800萬美元A輪融資，Animoca Brands領投:1月17日消息，Solana生態NFT拍賣協議Burnt Finance完成800萬美元A輪融資，Animoca Brands領投，Multicoin Capital、Alameda Research、DeFiance、Valor Capital Group、Figment、Spartan Capital、Tribe Capital、Play Ventures、HashKey、Mechanism Capital、DeFi Alliance、Terra、Fantom等參投。

新融資將用于部署和集成新鏈和產品功能，并擴大團隊規模。該協議計劃在未來幾個月將其產品擴展到貸款或GameFi等項目。（Coindesk）[2022/1/18 8:55:31]

本Tx中可以看到這些過程，不過只有internaltransaction。如果想詳細解讀得自己深挖調用棧。馬仔5338然后取出剛才抵押的NFT，并還給總控。總控再把NFT給別的馬仔。如此左手倒右手循環，黑客搞出了幾十個orderID，之后可作為借款憑證。而有bug的xNFT并沒有在取出抵押物后撤銷憑證orderID。

下一步，總控讓所有馬仔依次從xETH合約里借錢。攻擊完成。黑客用空氣借走了真金白銀。這是其中一個tx。

上面的是大概過程。再來看下細節。在xNFT合約中，withdrawNFT()并咩有在取出后消除orderID。當P2controller調用getOrderDetail()時還是能取到這個ID。

在xETH中，borrow()會調用borrowInternal()然后調用controller.borrowAllowed()來驗證orderID是否有效。

這個是P2controller的borrowAllowed()函數。首先會問xNFT.getOrderDetail()，這個肯定過。還有其他各種限制，但沒有一個好使，我在代碼評論中有分析。注：黑客之所以要多個馬仔合約是因為這里最下面有一個對單個orderID的借貸數量的限制。

總結：抵押物在取出后還有效，這是一個非常簡單粗暴膚淺的合約bug。下面這張圖是這些錯綜復雜的內部調用的清晰的調用棧。想不借助工具裸眼分析如果看麻了可以參考下圖。

Tags：NFTETHORDTHESNFT幣EtherPartyCHORD幣togetherbnb艾米莉攻略雙人互動

LTC