MENT:簡析 Blur、Element、Gem 等 NFT 交易平臺競爭優勢差異_BSC Payments

作者：dily_xz

看到那么多無腦吹Blur的服了，APT空投吹APT，Blur空投吹Blur

今天仔細研究了一下他們產品，寫個總結記錄一下，順便橫向對比一下其他交易市場，先上結論：

滿足極少用戶的產品，而且目前跨鏈交易的Gas費控制極差，不建議使用。

1）為了方便闡述我的想法，畫了一張圖方便解釋，順便也整理一下思路簡單來說，NFT交易用戶可以分三部分：NFT小白用戶、普通用戶、專業人士。

2）人數最多的的用戶，他們對錢包原理不是特別清楚，也沒有太高的安全意識，還按照Web2的習慣看待NFT產品所以針對這些用戶有好多產品，比如幣安的NFT交易所、TP，不安全，但是方便啊但是目前這些用戶是最多的，但是還沒有哪個平臺完全滿足這些人的需求，簡單、安全、方便

Beosin：SEAMAN合約遭受漏洞攻擊簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，2022年11月29日，SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時，都會將SEAMAN代幣兌換為憑證代幣GVC，而SEAMAN代幣和GVC代幣分別處于兩個交易對，導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣，接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣，此時會觸發合約將能使用的SEAMAN代幣兌換為GVC，兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD，接下來在BUSD-GVC交易對中將BUSD兌換為GVC，攻擊者通過多次調用transfer函數觸發_splitlpToken()函數，并且會將GVC分發給lpUser，會消耗BUSD-GVC交易對中GVC的數量，從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD，獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），將持續關注資金走向。[2022/11/29 21:10:04]

3）其實目前市場的核心力量在腰部用戶，也就是普通用戶他們已經可以熟練的使用錢包了，而且對各種釣魚方式也比較注意，各個Web3產品也如數家珍這個市場也是目前廝殺比較激烈的區域，包括龍頭Opensea、Element、X2Y2、Looks等平臺。

Beosin：EthTeamFinance項目遭受到了漏洞攻擊事件簡析:據Beosin EagleEye 安全預警與監控平臺檢測顯示，ETH鏈上的EthTeamFinance項目遭受漏洞攻擊，攻擊合約0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通過LockToken合約的migrate函數沒有正確驗證_id和params的漏洞，將WTH，CAW，USDC，TSUKA代幣從V2流動性池非法升級到V3流動性池，并且通過sqrtPriceX96打亂V3流動池的Initialize的價格，從而獲取大量refund套利。共計套利了約1300多萬美元。[2022/10/27 11:49:12]

4）還有就是提到Blur，他是一些專業人士需要的平臺，追求原教旨主義、專業的交易平臺、注重交易成本之前這個領域一直是Gem和Genie的區域，現在Element也支持聚合交易，可以滿足跨市場掃貨的需求，Gas費用還便宜現在Blur是比這幾家還要極致，做的更加的專業化和細分

安全公司：Starstream Finance被黑簡析:4月8日消息，據Agora DeFi消息，受 Starstream 的 distributor treasury 合約漏洞影響，Agora DeFi 中的價值約 820 萬美金的資產被借出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 在 Starstream 的 StarstreamTreasury 合約中存在 withdrawTokens 函數，此函數只能由 owner 調用以取出合約中儲備的資金。而在 April-07-2022 11:58:24 PM +8UTC 時，StarstreamTreasury 合約的 owner 被轉移至新的 DistributorTreasury 合約(0x6f...25)。

2. 新的 DistributorTreasury 合約中存在 execute 函數，而任意用戶都可以通過此函數進行外部調用，因此攻擊者直接通過此函數調用 StarstreamTreasury 合約中的 withdrawTokens 函數取出合約中儲備的 532,571,155.859 個 STARS。

3. 攻擊者將 STARS 抵押至 Agora DeFi 中，并借出大量資金。一部分借出的資金被用于拉高市場上 STARS 的價格以便借出更多資金。[2022/4/8 14:12:38]

5）但是越往上用戶是越少的，也就是說Blur的目標人群極少，會比Gem和Genie還少這是最大的問題，他的天花板太低了，甚至就是個地板的用戶量還有他的UI，因為他大量的使用了像素風格，像素風格喜歡的人很喜歡，不喜歡的人是真不習慣，大多數人知道像素風么

Harvest.Finance被黑事件簡析:10月26號，據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊，損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費；

2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT；

3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC，此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小；

4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中，充值的同時 Harvest 的 Vault 將鑄出 fUSDC，而鑄出的數量計算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC；

5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常；

6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC；

7. 隨后攻擊者開始重復此過程持續獲利；

其他攻擊流程與上訴分析過程類似。參考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源)，導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量，從而使攻擊者有利可圖。[2020/10/26]

6）還有就是他的設計理念，不太在乎普通人的感受，我雖然買了很多NFT但是自認算是普通交易者我沒有找到關于合集的信息，包括Twitter、官網等信息，更不用說基礎的數據分析了。這就把太多人擋在門外了。

7）我針對單個NFT分別測試了Element、Opensea、Blur的Gas費用Element：4.63Element：5.14Opensea：5.07Blur：10.5因為大部分都是聚合Opensea的，所以Opensea最便宜，但是Element自有更便宜。

8）大家經常使用的是聚合，Element因為是聚合了Opensea所以肯定會比Opensea高一點。但是，但是BlurGas居然高達10.5u，我當時就蒙了……最后才發現是他的業務邏輯太復雜了，Gas費用飆升，但是只是聚合交易而已你在做什么呢？當然除了單個的我還做了批量掃貨的聚合交易測試。

9）針對5個NFT批量測試了Element、Opensea、Blur的Gas費用Element：22.33Element：17.77Opensea：15.59Blur：56.38太貴了，雖然只是預估價格，我還專門買了NFT測試，結果也是是真貴，他的聚合合約邏輯太復雜了。

10）大家也在找各自的定位，但是Blur目前的定位非常不看好而且真正的專業交易者會直接調用OpenseaAPI不會經過他的合約再來一道，便宜、快、安全。

目前關注Opensea的求新求變，Element和X2Y2根據社區用戶的產品迭代。以上，供大家參考。

Tags：USDSEAENTMENTElectronic USDSEADMENT價格BSC Payments

pepe最新價格