INT:a16z：淺析NFT新騙術「Sleep Minting」的原理與預防_Quota

作為一個NFT收藏家，你應該關心鏈上的合約出處,NFT最真實的出處是直接從創造者的錢包或創造者擁有的智能合約中鑄造出來的。然而，通過一些小技巧，有人可以使用一種被稱為"SleepMinting"的技術來操縱NFT的創作者來源。

SleepMinting是指詐騙者直接將NFT鑄造到一個著名的創作者的錢包，并從創作者的錢包中回收NFT。這就造成了這樣的假象：(1)創作者自己真實地鑄造了一個NFT；(2)將該NFT發送給了一個騙子；基于"鏈上"的出處，騙子可以聲稱他們擁有一個著名創作者鑄造的NFT，并以更高的價值出售。這在技術上是如何運作的？首先，了解智能合約如何存儲NFT的出處和所有權是至關重要的。任何人都可以使用ERC-721標準中的ownerOf(tokenId)函數查詢NFT智能合約，以確定NFT的當前所有者是誰。你甚至可以通過改變eth_callRPC方法參數來查詢特定區塊編號的NFT所有者。然而，查看所有權變化的最簡單方法是查看ERC-721傳輸事件日志。我的a16zCrypto同事DarenMatsuoka在Twitter上寫了一篇關于事件日志和它們如何工作的精彩文章。轉移事件日志是由智能合約向外界發送的消息，包含關于NFT轉移的細節。轉移事件日志提供了一種有效的方式來檢查NFT的來源。

A16z將前美國CFTC委員Quintenz提升為政策主管:金色財經報道，美國商品期貨交易委員會前委員Brian Quintenz被任命為a16z的新政策主管。Brian Quintenz去年離開該機構，該公司周二表示，Quintenz正擴大他在Andreessen Horowitz（a16z）的作用，從提供咨詢到接管政策主管。

這位前監管者表示，考慮到該行業戲劇性的2022年，他理解一些政策制定者會對數字資產產生懷疑。鑒于市場的情況，他認為把重點放在客戶保護上是非常恰當的。（coindesk）[2022/12/6 21:25:55]

a16z聯創Marc Andreessen：DeFi可以完成互聯網終極目標:7月16日消息，a16z聯合創始人Marc Andreessen在接受麥肯錫《季刊采訪：思考的挑釁》采訪時表示，許多新技術在誕生之初都會有不少負面反應，但加密遠遠超出了這些范圍，人們會對其感到恐懼和厭惡。當看到針對加密貨幣、分布式賬本技術和區塊鏈的激烈批評時，Marc Andreessen認為這種抵制是“給創始人和我們公司一份不可思議的禮物”，因為加密將經濟活動帶到互聯網上，這是最重要的事情，他說道：“我們在現實世界中習慣的所有概念，比如身份、合同、金錢、頭銜和信任——可信賴經濟的機制，互聯網并沒有，DeFi可以完成互聯網終極目標，是互聯網的后半部分，即在一個開放且無需許可的網絡上建立信任層，讓每個人都能訪問。”（Fortune）[2022/7/16 2:17:20]

SleepMinting的騙局

Web3媒體公司Tally Labs完成1200萬美元融資，a16z Crypto領投:5月18日消息，Web3媒體公司Tally Labs完成1200萬美元種子輪融資，a16z Crypto領投，Sterling VC、Dapper Ventures、Roham Gharegozlou（Dapper Ventures CEO）、Odell Beckham Jr、Allyson Felix等參投。[2022/5/18 3:25:23]

大眾認為，如果你發送交易來轉移NFT，那么你的地址應該在event中作為"from"字段。然而，當一個騙子從一個著名的創造者那里取回一個sleepingNFT時，情況就不是這樣了。騙子可以人為地將著名創作者的地址加上"from"字段。Sleepminting這是beeple的數百萬美元的作品"First5000Days"在rarible上出售。看看截圖，上面清楚地寫著"創造者：

Web3及加密通信協議XMTP完成2000萬美元A輪融資，a16z領投，Coinbase Ventures等參投:9月1日，Web3及加密通信協議XMTP宣布完成2000萬美元A輪融資，a16z領投，Coinbase Ventures、Not Boring Capial、SK Ventures、Offline Ventures、StarkWare、Anthony Pompliano、Anthony Sassano (The Daily Gwei)、Kain Warwick (Synthetix)、Kayvon Beykpour (Twitter)、Stani Kulechov (Aave)、Robert Leshner (Compound Labs)、Roham Gharegozlou (Dapper Labs)、Ryan Sean Adams (Bankless)、Ryan Selkis (Messari) 等基金與天使投資人參投。

據悉，這筆資金將用于擴充 XMTP 團隊規模，并將幫助 XMTP 通過其獨立協議和去中心化網絡實現加密錢包間的通信。[2021/9/1 22:51:44]

Solana Labs獲3.14億美元融資，由A16z及Polychain Capital領投:6月9日消息，Solana開發者生態Solana Lab完成由A16z及Polychain Capital領投的314億美元融資，參與本輪融資的機構還包括AlamedaResearch、CMSHoldings、CoinShares、JumpTrading、MulticoinCapital、SinoGlobalCapital等。本輪融資將用于啟動孵化器，以幫助Solana生態內項目技術開發。（The Block）[2021/6/9 23:25:11]

但這是個騙局。它的創造者MonsieurPersonne，也自稱是NFTs的Banksy，故意用beeple的名字鑄造了這幅作品，他使用了一種叫做sleepminting的技術。那么他是如何做到的呢？基礎知識NFTs是使用ERC-721智能合約創建的,他們把NFTs的所有權記錄作為一個列表。一個地址和一個作品的序列號組成一個對。像這樣。Alice:1Booble:2Malory:3成交后，Alice可以通過以下方式將她的NFT轉讓給Booble。轉讓1：Alice==>Booble現在列表更新如下：Alice:Booble:2,1Malory:3在以太坊，我們用地址名字來識別，而且我們需要簽署轉賬來授權。但是在這篇文章提供的例子中，我將使用明確的名字來簡化解釋。現在，通常開發者以合理的方式實現ERC-721合約。Alice只有在她擁有一個NFT并能提供有效簽名的情況下才可以轉讓。ERC-721標準只是一個社會契約，它定義了一個允許藝術平臺互操作的接口。只要合同的接口與ERC-721合同的接口相匹配，任何機器都會認為它是有效的。但是，正如我們現在所看到的，這可能會導致以太坊上的NFTs出處出現安全問題，它是可以被篡改的。正如我所說，任何合理的ERC-721合約都會允許礦工只為自己造幣，并且只轉讓他們擁有的碎片。但是，假設我們定制了我們的ERC-721合約，使我們可以向其他賬戶鑄造。假設我們調整了轉讓功能，使我們的賬戶在某些情況下，也可以轉讓另一個人的NFT。那么，我們就可以建立一個允許我們sleepmint的合約。舉例：作為攻擊者Malory，我們給Booble鑄造一個序列號為1的作品。mint1:address(0)=>Booble(由Malory執行)現在我們的配對看起來如下：Alice:Booble:1Malory:然后，由于Malory已經調整了合同，將序列號為1的作品從Booble的賬戶轉移到任何其他賬戶，她可以在像rarible這樣的NFT平臺上提供出售。由于她從地址(0)到Booble的鑄幣為"創造者--Booble"被顯示出來。

一旦Malory成功詐騙了一個買家，她就會收到她的"Ethers"，并將假冒作品賣給買家。轉讓1：Booble=>買方。更新后的所有權記錄現在是這樣的。Alice:Booble:Malory:Buyer:1就這樣，Malory成功地篡改了NFT的創作出處記錄，以高于其價值的價格出售了她的作品。具體細節：仔細查看rarible和Etherscan的信息，我們會發現這更像是一個接口問題，而不是一個安全漏洞。沒有人能夠進入beeple的賬戶。另外，當仔細看一下交易記錄時，可以發現騙子的手法：偽造的mint交易偽造的轉賬交易

對于mint交易，我們可以看到Etherscan顯示兩個"From"字段。一個是msg.sender發送的交易，另一個是說明NFT的發件人。對于交易的發件人字段，即msg.sender，它不能被人為操縱，因為它需要發件人的私鑰的有效簽名。然而，對“TokensTransferred”的字段的授權受制于智能合約的漏洞，因此，可能會人為操縱。簡單地說，騙子可以對“TokensTransferred”字段進行任意修改。因此，我們必須檢查From和TokensTransferred是否都與beeple的正確地址相符。如果不是，那就是假的。這種攻擊它與"rugpull"類似，有人認為區塊鏈使web2問題都消失了，因為每一個數據都是經過認證和檢查授權的。但事實是，這些問題并沒有消失。它們只是轉移到了別的地方。

Tags：NFTQUOINTBOONFT AlleyQuotaFintraDaoBOOL幣

XLM