NFT:深度解析Opensea挂单“漏洞” 公开订单被黑客盯梢_NFT币三年后价格1元

近日Opensea（OS）出现了多个低价成交的头部项目，疑似挂单有bug被黑客攻击，黑客通过低价买到头部的NFT项目Bored Ape Yacht Club等等，再立马高价售出，以此获利数百ETH，以下为分析结果。

先看OS挂单逻辑：出售NFT时授权（授权完成以后OS的撮合合约可以调用用户地址的这个NFT）--》确定价格--》签名--》挂单完成。这时候签名信息会保存在OS的中心化服务器，并且会有API对外开放。

正常交易流程中，买方购买完后这个订单的签名信息就作废。

缤果合约（BingoEx）与比特村达成深度战略合作:据官方消息，缤果合约（BingoEx）与比特村达成深度战略合作，并签约成为缤果合约（BingEx）大中华区合约运营商，将享有全球市场运营、渠道商招募及全方面业务拓展等权益。双方在合约市场展开全方位合作，将在用户扩展、社区合作、品牌宣传等进行合作，助力社区人员拥有最佳的合约体验、建立线上社区以及线下运营中心。

缤果合约（BingoEx）隶属于BingoEx Capital集团，在美国注册，截至目前，累计注册用户已有42万以上，50名以上技术和金融安全团队，系统采用多重底层安全技术，已与多家区块链安全服务平台达成合作。缤果合约（BingoEx）已正式开启全球合伙人招募。[2020/7/8]

“被攻击”的情况中，用户在地址A下挂了一个价格为1ETH的NFT卖单，这时候可能会再把NFT转到地址B。后面NFT价格如果涨到了10ETH这个NFT再回到A地址，OS上这个NFT依然会以1ETH的挂单价出现（亲测确实会出现，但是用户可能不知道），这时候立马会被人购买，卖家会遭受巨大的差价损失。而买方可以立马转手卖出赚取差价，下面黑客地址就是，低价买入三个Bored Ape Yacht Club并立马卖出赚取了280ETH，约70万美金。

广州市工业和信息化局总工程师：广州将不断增强区块链与传统经济各领域深度融合:6月17日，广州市工业和信息化局总工程师胡志刚在第130场广州市疫情防控和复工复产新闻发布会上表示，广州区块链发展先行示范区将围绕技术创新、应用落地、产业发展，加快“建链、上链、用链”，力争到2022年，突破一批区块链底层核心关键技术，培育一批具有安全稳定区块链产品的行业企业，形成一批可复制推广的区块链典型应用示范场景，成为全国区块链技术和产业集聚中心。广州将在黄埔区打造广州区块链国际创新中心、黄埔链谷、蚁米区块链众创空间、区块链未来空间四大载体，推动区块链底层技术开发企业及应用服务商快速集聚。目前，已集聚区块链企业约400家，涵盖金融、政务、民生、制造业等多个领域。胡志刚表示，下一步，广州将以黄埔区为核心，推动区块链产业生态“建链”、产业资源“上链”、实施主体“用链”，以区块链产业发展作为服务实体经济的重要推手，从金融、物流、政务、知识产权、工业互联网等方面，不断增强区块链技术与传统经济各领域的深度融合，构建经济高质量发展新引擎。（南方都市报）[2020/6/18]

动态 | 广州港“互联网+港口物流智能服务示范工程”竣工验收 将区块链等技术与港口业务深度融合:据中国水运报消息，近日，记者从广州港集团获悉，交通运输部智慧港口示范工程——广州港集团“互联网+港口物流智能服务示范工程”通过竣工验收。该项目将移动互联网、物联网、大数据、人工智能、云计算、区块链、北斗定位、视频融合等信息技术与港口业务深度融合，重点建设“一个中心，六大平台”，打造智慧港口创新服务体系。[2019/8/26]

这个问题对NFT交易平台方有点棘手：OS把订单信息开放在了API中，公开透明，科学家可以通过API拿到订单信息。所以上文中的这个NFT一旦回到A地址，就存在被立马买走的风险。就算OS的功能立马调整，不再展示1ETH的卖单信息，又或者是直接从数据库删除order信息，都解决不了这个问题。

并且现在关闭API也解决不了这个问题，之前存量的挂单信息可以视为已经完全泄露。而且可以从OS界面用爬虫爬出order信息。所以只要准备足够充分，NFT再次回到A地址，黑客可以在任何地方以1ETH买走这个NFT。

当然平台可以在用户转走NFT的时候提醒cancel order，这个操作后将作废掉之前挂单的签名信息，但会上链消耗GAS Fee，挂单多次需取消多次。Opensea的撮合合约里也没有一次取消多个order的方法，这是其他OS竞品交易市场可以进行优化的功能。可以一键取消多个挂单，减少用户操作，不过GAS Fee肯定是少不了的。

平台提醒目前看来是一个比较简单快速的方式，但是是用户也可以在其他平台直接转走NFT。比如我在OS挂了个卖单，我也可以imToken、Looksrare、Mintverse等其他平台直接转走NFT。总结一下就是没法保证NFT挂单签名信息百分百和NFT转移一起失效。这个问题对NFT交易平台来说有点无解，不仅仅是OS，任何NFT交易平台都一样。除非是中心化的交易平台，所以对平台来说只能不断的提醒引导用户，提高用户风险意识。

对用户而言，如果知道这个漏洞后注意别再把NFT转回到之前的地址就没问题。不过这个行业用户知识水平参差不齐，转错ERC20到合约地址的情况都时有发生，NFT这个问题个人觉得后面也会一直有。也有用户在挂了卖单情况下去进行质押之类的操作，这种情况取回来只能到原地址。这种情况如果有价格差，肯定有被撸走的风险。如果有这种情况的用户，可用先取消掉授权，再取回NFT。

2022肯定还会出现一大批NFT交易市场，数据完整性，实时性，准确性；产品安全性，可用性，稳定性；肯定会成为未来NFT交易市场的竞争点。用户也需要提高安全意识，保管好自己宝贵的NFT。

标签：NFT区块链ETHINGNFT币三年后价格1元区块链币圈币种知识大全togetherbnb更新了吗RINGER价格

BTC热门资讯