SEA:简析 Blur、Element、Gem 等 NFT 交易平台竞争优势差异_SPORE

作者：dily_xz

看到那么多无脑吹Blur的服了，APT空投吹APT，Blur空投吹Blur

今天仔细研究了一下他们产品，写个总结记录一下，顺便横向对比一下其他交易市场，先上结论：

满足极少用户的产品，而且目前跨链交易的Gas费控制极差，不建议使用。

1）为了方便阐述我的想法，画了一张图方便解释，顺便也整理一下思路简单来说，NFT交易用户可以分三部分：NFT小白用户、普通用户、专业人士。

2）人数最多的的用户，他们对钱包原理不是特别清楚，也没有太高的安全意识，还按照Web2的习惯看待NFT产品所以针对这些用户有好多产品，比如币安的NFT交易所、TP，不安全，但是方便啊但是目前这些用户是最多的，但是还没有哪个平台完全满足这些人的需求，简单、安全、方便

Beosin：SEAMAN合约遭受漏洞攻击简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，2022年11月29日，SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时，都会将SEAMAN代币兑换为凭证代币GVC，而SEAMAN代币和GVC代币分别处于两个交易对，导致攻击者可以利用该函数影响其中一个代币的价格。

攻击者首先通过50万BUSD兑换为GVC代币，接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币，此时会触发合约将能使用的SEAMAN代币兑换为GVC，兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD，接下来在BUSD-GVC交易对中将BUSD兑换为GVC，攻击者通过多次调用transfer函数触发_splitlpToken()函数，并且会将GVC分发给lpUser，会消耗BUSD-GVC交易对中GVC的数量，从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD，获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），将持续关注资金走向。[2022/11/29 21:10:04]

3）其实目前市场的核心力量在腰部用户，也就是普通用户他们已经可以熟练的使用钱包了，而且对各种钓鱼方式也比较注意，各个Web3产品也如数家珍这个市场也是目前厮杀比较激烈的区域，包括龙头Opensea、Element、X2Y2、Looks等平台。

安全公司：AurumNodePool合约遭受漏洞攻击简析:金色财经报道，据区块链安全审计公司Beosin EagleEye监测显示，2022年11月23日，AurumNodePool合约遭受漏洞攻击。

Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证，导致攻击者可以调用该函数进行任意值设置。

攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数，接下来调用claimNodeReward函数提取节点奖励，而节点奖励的计算取决于攻击者设置的rewardPerDay值，导致计算的节点奖励非常高。而在这一笔交易之前，攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR，创建了攻击者的节点记录，从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]

4）还有就是提到Blur，他是一些专业人士需要的平台，追求原教旨主义、专业的交易平台、注重交易成本之前这个领域一直是Gem和Genie的区域，现在Element也支持聚合交易，可以满足跨市场扫货的需求，Gas费用还便宜现在Blur是比这几家还要极致，做的更加的专业化和细分

慢雾：Harmony Horizon bridge遭攻击简析:据慢雾安全团队消息，Harmony Horizon bridge 遭到黑客攻击。经慢雾 MistTrack 分析，攻击者（0x0d0...D00）获利超 1 亿美元，包括 11 种 ERC20 代币、13,100 ETH、5,000 BNB 以及 640,000 BUSD，在以太坊链攻击者将大部分代币转移到两个新钱包地址，并将代币兑换为 ETH，接着将 ETH 均转回初始地址（0x0d0...D00），目前地址（0x0d0...D00）约 85,837 ETH 暂无转移，同时，攻击者在 BNB 链暂无资金转移操作。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/6/24 1:28:30]

5）但是越往上用户是越少的，也就是说Blur的目标人群极少，会比Gem和Genie还少这是最大的问题，他的天花板太低了，甚至就是个地板的用户量还有他的UI，因为他大量的使用了像素风格，像素风格喜欢的人很喜欢，不喜欢的人是真不习惯，大多数人知道像素风么

慢雾：Avalanche链上Zabu Finance被黑简析:据慢雾区情报，9月12日，Avalanche上Zabu Finance项目遭受闪电贷攻击，慢雾安全团队进行分析后以简讯的形式分享给大家参考：

1.攻击者首先创建两个攻击合约，随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币，并将获得的SPORE代币抵押至ZABUFarm合约中，为后续获取ZABU代币奖励做准备。

2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币，随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取)，而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量，而不是记录合约实际收到的代币数量，但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。

3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷，从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的，因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。

4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励，随后便对ZABU代币进行了抛售。

此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的，此类问题导致的攻击已经发生的多起，慢雾安全团队建议：项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化，而不是依赖于用户传入的抵押代币数量。[2021/9/12 23:19:21]

6）还有就是他的设计理念，不太在乎普通人的感受，我虽然买了很多NFT但是自认算是普通交易者我没有找到关于合集的信息，包括Twitter、官网等信息，更不用说基础的数据分析了。这就把太多人挡在门外了。

7）我针对单个NFT分别测试了Element、Opensea、Blur的Gas费用Element：4.63Element：5.14Opensea：5.07Blur：10.5因为大部分都是聚合Opensea的，所以Opensea最便宜，但是Element自有更便宜。

8）大家经常使用的是聚合，Element因为是聚合了Opensea所以肯定会比Opensea高一点。但是，但是BlurGas居然高达10.5u，我当时就蒙了……最后才发现是他的业务逻辑太复杂了，Gas费用飙升，但是只是聚合交易而已你在做什么呢？当然除了单个的我还做了批量扫货的聚合交易测试。

9）针对5个NFT批量测试了Element、Opensea、Blur的Gas费用Element：22.33Element：17.77Opensea：15.59Blur：56.38太贵了，虽然只是预估价格，我还专门买了NFT测试，结果也是是真贵，他的聚合合约逻辑太复杂了。

10）大家也在找各自的定位，但是Blur目前的定位非常不看好而且真正的专业交易者会直接调用OpenseaAPI不会经过他的合约再来一道，便宜、快、安全。

目前关注Opensea的求新求变，Element和X2Y2根据社区用户的产品迭代。以上，供大家参考。

标签：SEAABUARMSPORESEADEXADABULL币BabyDogeARMYSPORE价格

BNB热门资讯