作者:dily_xz
看到那么多無腦吹Blur的服了,APT空投吹APT,Blur空投吹Blur
今天仔細研究了一下他們產品,寫個總結記錄一下,順便橫向對比一下其他交易市場,先上結論:
滿足極少用戶的產品,而且目前跨鏈交易的Gas費控制極差,不建議使用。
1)為了方便闡述我的想法,畫了一張圖方便解釋,順便也整理一下思路簡單來說,NFT交易用戶可以分三部分:NFT小白用戶、普通用戶、專業人士。
2)人數最多的的用戶,他們對錢包原理不是特別清楚,也沒有太高的安全意識,還按照Web2的習慣看待NFT產品所以針對這些用戶有好多產品,比如幣安的NFT交易所、TP,不安全,但是方便啊但是目前這些用戶是最多的,但是還沒有哪個平臺完全滿足這些人的需求,簡單、安全、方便
Beosin:SEAMAN合約遭受漏洞攻擊簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,2022年11月29日,SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時,都會將SEAMAN代幣兌換為憑證代幣GVC,而SEAMAN代幣和GVC代幣分別處于兩個交易對,導致攻擊者可以利用該函數影響其中一個代幣的價格。
攻擊者首先通過50萬BUSD兌換為GVC代幣,接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣,此時會觸發合約將能使用的SEAMAN代幣兌換為GVC,兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD,接下來在BUSD-GVC交易對中將BUSD兌換為GVC,攻擊者通過多次調用transfer函數觸發_splitlpToken()函數,并且會將GVC分發給lpUser,會消耗BUSD-GVC交易對中GVC的數量,從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD,獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),將持續關注資金走向。[2022/11/29 21:10:04]
3)其實目前市場的核心力量在腰部用戶,也就是普通用戶他們已經可以熟練的使用錢包了,而且對各種釣魚方式也比較注意,各個Web3產品也如數家珍這個市場也是目前廝殺比較激烈的區域,包括龍頭Opensea、Element、X2Y2、Looks等平臺。
Beosin:EthTeamFinance項目遭受到了漏洞攻擊事件簡析:據Beosin EagleEye 安全預警與監控平臺檢測顯示,ETH鏈上的EthTeamFinance項目遭受漏洞攻擊,攻擊合約0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通過LockToken合約的migrate函數沒有正確驗證_id和params的漏洞,將WTH,CAW,USDC,TSUKA代幣從V2流動性池非法升級到V3流動性池,并且通過sqrtPriceX96打亂V3流動池的Initialize的價格,從而獲取大量refund套利。共計套利了約1300多萬美元。[2022/10/27 11:49:12]
4)還有就是提到Blur,他是一些專業人士需要的平臺,追求原教旨主義、專業的交易平臺、注重交易成本之前這個領域一直是Gem和Genie的區域,現在Element也支持聚合交易,可以滿足跨市場掃貨的需求,Gas費用還便宜現在Blur是比這幾家還要極致,做的更加的專業化和細分
安全公司:Starstream Finance被黑簡析:4月8日消息,據Agora DeFi消息,受 Starstream 的 distributor treasury 合約漏洞影響,Agora DeFi 中的價值約 820 萬美金的資產被借出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。
1. 在 Starstream 的 StarstreamTreasury 合約中存在 withdrawTokens 函數,此函數只能由 owner 調用以取出合約中儲備的資金。而在 April-07-2022 11:58:24 PM +8UTC 時,StarstreamTreasury 合約的 owner 被轉移至新的 DistributorTreasury 合約(0x6f...25)。
2. 新的 DistributorTreasury 合約中存在 execute 函數,而任意用戶都可以通過此函數進行外部調用,因此攻擊者直接通過此函數調用 StarstreamTreasury 合約中的 withdrawTokens 函數取出合約中儲備的 532,571,155.859 個 STARS。
3. 攻擊者將 STARS 抵押至 Agora DeFi 中,并借出大量資金。一部分借出的資金被用于拉高市場上 STARS 的價格以便借出更多資金。[2022/4/8 14:12:38]
5)但是越往上用戶是越少的,也就是說Blur的目標人群極少,會比Gem和Genie還少這是最大的問題,他的天花板太低了,甚至就是個地板的用戶量還有他的UI,因為他大量的使用了像素風格,像素風格喜歡的人很喜歡,不喜歡的人是真不習慣,大多數人知道像素風么
Harvest.Finance被黑事件簡析:10月26號,據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊,損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。
1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費;
2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT;
3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC,此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小;
4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中,充值的同時 Harvest 的 Vault 將鑄出 fUSDC,而鑄出的數量計算方式如下:
amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());
計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值,由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC;
5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常;
6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC;
7. 隨后攻擊者開始重復此過程持續獲利;
其他攻擊流程與上訴分析過程類似。參考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。
此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源),導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量,從而使攻擊者有利可圖。[2020/10/26]
6)還有就是他的設計理念,不太在乎普通人的感受,我雖然買了很多NFT但是自認算是普通交易者我沒有找到關于合集的信息,包括Twitter、官網等信息,更不用說基礎的數據分析了。這就把太多人擋在門外了。
7)我針對單個NFT分別測試了Element、Opensea、Blur的Gas費用Element:4.63Element:5.14Opensea:5.07Blur:10.5因為大部分都是聚合Opensea的,所以Opensea最便宜,但是Element自有更便宜。
8)大家經常使用的是聚合,Element因為是聚合了Opensea所以肯定會比Opensea高一點。但是,但是BlurGas居然高達10.5u,我當時就蒙了……最后才發現是他的業務邏輯太復雜了,Gas費用飆升,但是只是聚合交易而已你在做什么呢?當然除了單個的我還做了批量掃貨的聚合交易測試。
9)針對5個NFT批量測試了Element、Opensea、Blur的Gas費用Element:22.33Element:17.77Opensea:15.59Blur:56.38太貴了,雖然只是預估價格,我還專門買了NFT測試,結果也是是真貴,他的聚合合約邏輯太復雜了。
10)大家也在找各自的定位,但是Blur目前的定位非常不看好而且真正的專業交易者會直接調用OpenseaAPI不會經過他的合約再來一道,便宜、快、安全。
目前關注Opensea的求新求變,Element和X2Y2根據社區用戶的產品迭代。以上,供大家參考。
GrayscaleInvestments表示,鑒于近期的市場事件,投資者所持有的灰度數字資產產品的安全性不受影響.
1900/1/1 0:00:00作者:0xCera 引語:近日,擁有100多萬讀者的知名加密網站Ambcrypto,發表了一篇名為《MATCHChainrealizestrueinteroperabilitybetweenec.
1900/1/1 0:00:00據Cointelegraph報道,現已解散的云挖礦公司Hashflare兩名創始人在愛沙尼亞被捕,被指控涉嫌參與加密貨幣欺詐和洗錢,涉案金額達5.75億美元.
1900/1/1 0:00:00據TheBlock報道,加密交易所Kraken的NFT市場上線測試版,向注冊候補名單的用戶開放.
1900/1/1 0:00:00整理:flowie,ChainCatcher“過去24小時都發生了哪些重要事件”?1、馬斯克收購推特后解雇CEO和CFO,幣安按承諾為收購出資5億美元據BusinessInsider報道.
1900/1/1 0:00:00撰文:油醋 責編:玄寧 來源:品玩 2021年3月的一場宣講中,亞馬遜中國區總裁張文翊喊出AWS中國業務「三駕馬車」戰略:中國本土客戶、外企的中國業務以及中國出海業務三者齊頭并進.
1900/1/1 0:00:00