作者:dily_xz
看到那么多無腦吹Blur的服了,APT空投吹APT,Blur空投吹Blur
今天仔細研究了一下他們產品,寫個總結記錄一下,順便橫向對比一下其他交易市場,先上結論:
滿足極少用戶的產品,而且目前跨鏈交易的Gas費控制極差,不建議使用。
1)為了方便闡述我的想法,畫了一張圖方便解釋,順便也整理一下思路簡單來說,NFT交易用戶可以分三部分:NFT小白用戶、普通用戶、專業人士。
2)人數最多的的用戶,他們對錢包原理不是特別清楚,也沒有太高的安全意識,還按照Web2的習慣看待NFT產品所以針對這些用戶有好多產品,比如幣安的NFT交易所、TP,不安全,但是方便啊但是目前這些用戶是最多的,但是還沒有哪個平臺完全滿足這些人的需求,簡單、安全、方便
安全團隊:Rubic被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Rubic項目被攻擊,Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗,_params可以指定任意的參數,攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數,把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址,被盜資金近1100個以太坊,通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]
3)其實目前市場的核心力量在腰部用戶,也就是普通用戶他們已經可以熟練的使用錢包了,而且對各種釣魚方式也比較注意,各個Web3產品也如數家珍這個市場也是目前廝殺比較激烈的區域,包括龍頭Opensea、Element、X2Y2、Looks等平臺。
Beosin:sDAO項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin?EagleEye 安全風險監控、預警與阻斷平臺監測顯示,BNB鏈上的sDAO項目遭受漏洞攻擊,Beosin分析發現由于sDAO合約的業務邏輯錯誤導致,getReward函數是根據合約擁有的LP代幣和用戶添加的LP代幣作為參數來計算的,計算的獎勵與用戶添加LP代幣數量正相關,與合約擁有總LP代幣數量負相關,但合約提供了一個withdrawTeam的方法,可以將合約擁有的BNB以及指定代幣全部發送給合約指定地址,該函數任何人都可調用。而本次攻擊者向其中添加了LP代幣之后,調用withdrawTeam函數將LP代幣全部發送給了指定地址,并立刻又向合約轉了一個極小數量的LP代幣,導致攻擊者在隨后調用getReward獲取獎勵的時候,使用的合約擁有總LP代幣數量是一個極小的值,使得獎勵異常放大。最終攻擊者通過該漏洞獲得的獎勵兌換為13662枚BUSD離場。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶,將持續關注資金走向。[2022/11/21 7:53:09]
4)還有就是提到Blur,他是一些專業人士需要的平臺,追求原教旨主義、專業的交易平臺、注重交易成本之前這個領域一直是Gem和Genie的區域,現在Element也支持聚合交易,可以滿足跨市場掃貨的需求,Gas費用還便宜現在Blur是比這幾家還要極致,做的更加的專業化和細分
慢霧簡析Qubit被盜原因:對白名單代幣進行轉賬操作時未對其是否是0地址再次進行檢查:據慢霧區情報,2022 年 01 月 28 日,Qubit 項目的 QBridge 遭受攻擊損失約 8000 萬美金。慢霧安全團隊進行分析后表示,本次攻擊的主要原因在于在充值普通代幣與 native 代幣分開實現的情況下,在對白名單內的代幣進行轉賬操作時未對其是否是 0 地址再次進行檢查,導致本該通過 native 充值函數進行充值的操作卻能順利走通普通代幣充值邏輯。慢霧安全團隊建議在對充值代幣進行白名單檢查后仍需對充值的是否為 native 代幣進行檢查。[2022/1/28 9:19:19]
5)但是越往上用戶是越少的,也就是說Blur的目標人群極少,會比Gem和Genie還少這是最大的問題,他的天花板太低了,甚至就是個地板的用戶量還有他的UI,因為他大量的使用了像素風格,像素風格喜歡的人很喜歡,不喜歡的人是真不習慣,大多數人知道像素風么
慢霧:Spartan Protocol被黑簡析:據慢霧區情報,幣安智能鏈項目 Spartan Protocol 被黑,損失金額約 3000 萬美元,慢霧安全團隊第一時間介入分析,并以簡訊的形式分享給大家參考:
1. 攻擊者通過閃電貸先從 PancakeSwap 中借出 WBNB;
2. 在 WBNB-SPT1 的池子中,先使用借來的一部分 WBNB 不斷的通過 swap 兌換成 SPT1,導致兌換池中產生巨大滑點;
3. 攻擊者將持有的 WBNB 與 SPT1 向 WBNB-SPT1 池子添加流動性獲得 LP 憑證,但是在添加流動性的時候存在一個滑點修正機制,在添加流動性時將對池的滑點進行修正,但沒有限制最高可修正的滑點大小,此時添加流動性,由于滑點修正機制,獲得的 LP 數量并不是一個正常的值;
4. 隨后繼續進行 swap 操作將 WBNB 兌換成 SPT1,此時池子中的 WBNB 增多 SPT1 減少;
5. swap 之后攻擊者將持有的 WBNB 和 SPT1 都轉移給 WBNB-SPT1 池子,然后進行移除流動性操作;
6. 在移除流動性時會通過池子中實時的代幣數量來計算用戶的 LP 可獲得多少對應的代幣,由于步驟 5,此時會獲得比添加流動性時更多的代幣;
7. 在移除流動性之后會更新池子中的 baseAmount 與 tokenAmount,由于移除流動性時沒有和添加流動性一樣存在滑點修正機制,移除流動性后兩種代幣的數量和合約記錄的代幣數量會存在一定的差值;
8. 因此在與實際有差值的情況下還能再次添加流動性獲得 LP,此后攻擊者只要再次移除流動性就能再次獲得對應的兩種代幣;
9. 之后攻擊者只需再將 SPT1 代幣兌換成 WBNB,最后即可獲得更多的 WBNB。詳情見原文鏈接。[2021/5/2 21:17:59]
6)還有就是他的設計理念,不太在乎普通人的感受,我雖然買了很多NFT但是自認算是普通交易者我沒有找到關于合集的信息,包括Twitter、官網等信息,更不用說基礎的數據分析了。這就把太多人擋在門外了。
7)我針對單個NFT分別測試了Element、Opensea、Blur的Gas費用Element:4.63Element:5.14Opensea:5.07Blur:10.5因為大部分都是聚合Opensea的,所以Opensea最便宜,但是Element自有更便宜。
8)大家經常使用的是聚合,Element因為是聚合了Opensea所以肯定會比Opensea高一點。但是,但是BlurGas居然高達10.5u,我當時就蒙了……最后才發現是他的業務邏輯太復雜了,Gas費用飆升,但是只是聚合交易而已你在做什么呢?當然除了單個的我還做了批量掃貨的聚合交易測試。
9)針對5個NFT批量測試了Element、Opensea、Blur的Gas費用Element:22.33Element:17.77Opensea:15.59Blur:56.38太貴了,雖然只是預估價格,我還專門買了NFT測試,結果也是是真貴,他的聚合合約邏輯太復雜了。
10)大家也在找各自的定位,但是Blur目前的定位非常不看好而且真正的專業交易者會直接調用OpenseaAPI不會經過他的合約再來一道,便宜、快、安全。
目前關注Opensea的求新求變,Element和X2Y2根據社區用戶的產品迭代。以上,供大家參考。
Tags:BNBSEABLUBLURtogetherbnb可以和誰嘿嘿BooBanker Research AssociationBBLUE價格blur幣上架哪幾個交易所
受訪者:臺灣傷澄法律事務所 采訪者:吳說區塊鏈 截止到目前為止,我們接受的客戶中,臺灣大概是九百五十個人左右,損失在500萬元美元以上的,大概是四位,整體受害金額可能超過一億五千萬美元.
1900/1/1 0:00:00原文標題:《復盤GALA風波:一場$40萬誘發的價值$2.5億的火幣信任危機》原文作者:Haotian故事的開始是pNetwork為了挽回40萬美元的pool流動性.
1900/1/1 0:00:00整理:念青,ChainCatcher“過去24小時都發生了哪些重要事件”?1、FTX將向受網絡釣魚事件影響的賬戶提供約600萬美元的一次性補償?FTX創始人SamBankman-Fried發推表.
1900/1/1 0:00:00原文標題:《Tokenomics101:TheBasicsofEvaluatingCryptocurrencies》作者:NatEliason編譯:Maynor.
1900/1/1 0:00:00作者:WLabs瓜田實驗室這個長文系列的第一篇休閑破冰類游戲發出后,反響比預計的要熱烈,看的出經過了10個月的鏈游熊市.
1900/1/1 0:00:00據Decrypt報道,Solana開發工具提供商Helius宣布完成310萬美元種子輪融資,ReciprocalVentures和ChapterOne領投.
1900/1/1 0:00:00