NFT借贷平台@XCarnival_Lab大约7个小时之前被黑了,至少有3000个$ETH (约380万美元)被盗。下面是该事件的简要分析:
该NFT借贷平台的合约有个bug:作为抵押品的NFT在取出后,其orderID仍然可用,可以此申请贷款。
?xNFT, NFT管理器. https://etherscan.io/address/0xb14b3b9682990ccc16f52eb04146c3ceab01169……?
美国洛杉矶比弗利山庄已提交NFT和元宇宙相关商标申请:6月20日消息,据美国律师Mike Kondoudis的推文,美国洛杉矶比弗利山庄(Beverly Hills)已提交7向NFT和元宇宙相关商标申请,范围涵盖NFT+NFT支持的媒体+数字收藏品、虚拟服装/头饰/箱包/艺术品、实际和虚拟音乐会+虚拟世界体验。
比弗利山庄是一座位于美国加州洛杉矶县西边的城市,比佛利山庄有“全世界最尊贵住宅区”称号,这里有着全球最高档的商业街,也云集了好莱坞影星们的众多豪宅,同样还作为世界影坛的圣地。[2022/6/20 4:39:58]
?P2Controller, 很多借贷限制条件的验证者.
研究:半数游戏开发者已经在探索区块链和NFT:11月10日消息,来自英国的一项新研究表明,大多数游戏工作室已经开始为他们即将推出的游戏探索区块链。受区块链平台Stratis委托,Opinion开展的这项新研究调查了197名美国和英国的电子游戏开发者。结果显示,58%的开发人员开始使用区块链技术,几乎一半的受访者(47%)开始探索NFT。该研究表明,开发者对区块链和NFT很有信心,因为三分之二的工作室预计区块链在未来两年内将在游戏行业盛行。虽然72%的受访者考虑在即将到来的游戏中使用区块链和NFT,但超过半数(56%)的受访者计划在12个月内应用新技术。
Stratis首席执行官Chris Trew在接受采访时表示,区块链、代币和NFT是新数字世界和游戏体验的关键技术。他说:“它们使玩家能够在自己所玩的游戏中拥有一部分资产,例如,在元宇宙游戏中购买土地,或在赛车游戏中购买汽车。”(Cointelegraph)[2021/11/10 21:41:08]
黑客 https://etherscan.io/address/0xb7cbb4d43f1e08327a90b32a8417688c9d0b800a… 从Tornado中拿出了干坏事的启动资金. 然后在OpenSea上购买了 #BAYC 5110。
CROSS盲盒游戏26日10:00上线,现公布第一期NFT联名品牌方:据官方消息,CROSS?Mystery Box(盲盒游戏)于2月26日10:00正式上线,每一期会上线一批NFT,每个NFT均配置一个盲盒,其中只有1个盲盒内附大奖。每期盲盒活动的大奖由CyberVein基金会提供。
?第一期盲盒游戏参与竞拍的4副联名款NFT的合作伙伴分别是火币生态链Heco、MXC交易所、Poloniex交易所、NFT平台Piction,并由知名NFT艺术家池磊根据4位合作伙伴的品牌元素设计出各具特色的中国牛年与币圈牛市NFT,前2期的NFT总价已超过500万,盲盒总奖池价值1BTC。玩家可以在游戏时间内对任意联名款NFT多次出价,每一个盲盒中奖率高达25%。详情见官网链接。[2021/2/24 17:47:35]
他部署了一个总控合约 0xf706…ca8d https://etherscan.io/address/0xf70f691d30ce23786cfb3a1522cfd76d159aca8d……, 该合约生成了很多用来当女巫用同一个NFT进行借贷的马仔合约,比如0x5338…3714 https://etherscan.io/address/0x53386a82e55202a74c6d83c7eede7a80ba553714…….
首先,总控将BAYC转给某个马仔(以0x5338为例)。马仔然后调用xNFT中的pledgeAndBorrow()函数(抵押并贷款),抵押品为BAYC,但什么也没贷(贷款为一个总控部署的假xToken合约,数量为0)。本步骤生成了一个orderID(43)。
本Tx中可以看到这些过程,不过只有internal transaction。如果想详细解读得自己深挖调用栈。马仔5338然后取出刚才抵押的NFT,并还给总控。总控再把NFT给别的马仔。如此左手倒右手循环,黑客搞出了几十个orderID,之后可作为借款凭证。而有bug的xNFT并没有在取出抵押物后撤销凭证orderID。
下一步,总控让所有马仔依次从xETH合约里借钱。攻击完成。黑客用空气借走了真金白银(NFT抵押品早就取出了)。这是其中一个tx。
上面的是大概过程。再来看下细节。在xNFT合约中,withdrawNFT()并咩有在取出后消除orderID。当P2controller调用getOrderDetail()时还是能取到这个ID。
在xETH中,borrow()会调用borrowInternal()然后调用controller.borrowAllowed() 来验证orderID是否有效。
标签:NFT区块链ETHORDArtwork NFT区块链dapp开发例子ethereal寓意之类的词Nord Finance
行情急转直下,市场渐入熊市。与日俱增的全体恐慌情绪,以及资金出逃趋势下,在牛市周期煊赫一时的众多头部玩家,自然无法独善其身,纷纷通过裁员手段应对寒冬.
1900/1/1 0:00:00原文:MetaPortal我们经常听到加密游戏将自己称为国家。通常,他们这样做是为了表示社区和人们在叙述背后聚集在一起的感觉。似乎很少关注一个国家的经济方面。货币、财政和货币政策、人口增长等.
1900/1/1 0:00:00摘要:去中心化NFT交易协议之于NFT Market,如同AMM之于DEX。NFT交易中的核心需求为流动性和价格,所以NFT交易所的真实护城河应建立在商品出售时的流动性和价格优势上.
1900/1/1 0:00:00原文:Chainalysis去中心化自治组织 (DAO) 是 Web3 的主要内容。基于互联网和区块链的 DAO 旨在为企业、项目和社区提供一种新的、民主化的管理结构,其中任何成员都可以通过购买.
1900/1/1 0:00:00头条▌韩国将20%的加密资产征税推迟至2025年6月20日消息,韩国经济和财政部税收政策负责人Ko Kwang-hyo宣布,韩国将计划2023对数字资产征收的加密税再推迟两年至2025年.
1900/1/1 0:00:00本轮场熊市对比特币和以太坊造成了非常严重的打击,二者的当前价格都低于上一轮周期的最高价。许多链上和市场表现指标达到历史偏低水平。2021-22?年度的所有投资者均陷入未实现亏损.
1900/1/1 0:00:00