ANC:Nansen分析：NFT項目賺的“盆滿缽盈” 以太坊存在被砸盤風險？_NAN

特別感謝來自投資機構MechanismCapital的DarylLau對本文的幫助。由于智能合約的差異，ArtBlocks和Cryptopunks不包括在本研究中。

二級市場指標

半年前，沒有人會想到OpenSea最終會在以太坊GasTracker排行榜上名列前茅，并與Uniswap一爭高下。今天，OpenSea是第二大gas消耗應用，經常占據整個gas消耗市場的10-20%。OpenSea是目前最大的NFT二級市場。項目方或藝術家在鑄造加密藝術項目的NFT后，它們開始在OpenSea上交易，隨之而來的其他收藏家開始挑選并競標他們喜歡的NFT作品。

匿名巨鯨地址從Binance提出1萬枚ETH:金色財經報道，據Lookonchain監測，匿名巨鯨地址于40分鐘前從Binance提出10,000枚ETH，約合173萬美元。此前過去一周，3個新錢包從Binance和Kraken中總共提取了86,520枚ETH（約合1.5億美元）。0x5bA3開頭地址從Binance中提取了35,860枚ETH并轉入合約地址；0x7c82開頭地址從Binance中提取了27,000枚ETH；0x2c74開頭地址從Kraken中提取了23,660枚ETH。[2023/6/20 21:49:26]

將歷史交易量與自7月以來的獨立買家數量一起繪制成圖表，我們可以看出，二級市場買家對NFT的興趣在8月開始減弱。以太坊交易量的下降可能表明銷售價格較低，而獨立NFT買家數量的減少可能表明缺乏進入NFT領域的新參與者。

安全團隊：DFX Finance攻擊者獲利逾23萬美元:11月11日消息，據慢霧安全團隊情報，ETH鏈上的DFX Finance項目遭到攻擊，攻擊者獲利約231,138美元。慢霧安全團隊以簡訊形式分享如下：

1. 攻擊者首先調用了名為Curve的合約中的viewDeposit函數來查看合約中的存款情況，之后根據返回的存款情況來構造合適的閃電貸需要借出的錢。

2. 緊接著繼續Curve合約的flash函數進行閃電貸，因為該函數未做重入鎖保護，導致攻擊者利用閃電貸中的flashCallback函數回調了合約的deposit函數進行存款。

3. 存款函數外部調用了ProportionalLiquidity合約的proportionalDeposit函數，在該函數中會將第二步中借來的資金轉移回Curve合約里，并且為攻擊合約進行存款的記賬，并且為攻擊合約鑄造存款憑證。

4. 由于利用重入了存款函數來將資金轉移回Curve合約中，使得成功通過了閃電貸還款的余額檢查。

5. 最后調用withdraw函數進行取款，取款時會根據第三步存款時對攻擊合約記賬燃燒掉存款憑證，并以此成功取出約2,283,092,402枚XIDR代幣和99,866枚USDC代幣獲利。

此次攻擊的主要原因在于Curve合約閃電貸函數并未做重入保護，導致攻擊重入了存款函數進行轉賬代幣來通過閃電貸還款的余額判斷，由于存款時有記賬所以攻擊者可以成功提款獲利。[2022/11/11 12:51:08]

盡管如此，自8月19日的低點以來，NFT交易量已經強勁反彈。這與OpenSea的平均NFT交易價格飆升相匹配。

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

動態 | Maker與Loom聯合打造通往Tron，Binance和其他公司的Dai網關:Maker正在與Loom網絡合并，以建立通往Tron，Binance和其他公司的Dai網關。根據更新，這將使穩定幣DAI的創建者Maker成為第一個使用Loom跨鏈網關的第三方項目。（NewsLogical）[2019/10/27]

有趣的是，自7月以來，NFT銷售的平均ETH價格保持相對穩定，這代表每個NFT的美元價值增加。二級NFT銷售所獲得的每日最高價格也一直處于總體上升趨勢。

調查NFT項目格局

現在，我們從二級NFT市場轉移到一級NFT市場。我們可以描繪出一個由645個NFT項目組成的宇宙。據估計，自6月以來，約有84,000個ETH已存入ERC-721NFT合約。這構成了從首先鑄造這些NFT的地址累積的主要“銷售收入”。大約75,000個ETH已從此類合約中轉出。573個項目已經將ETH轉出，而72個項目仍然沒有移動其金庫中的ETH。

按主要銷售收入劃分項目分布

只有80個項目實現了300個ETH及以上的一級銷售收入。ETH收入中位數為10.2個ETH。

累計至8月16日的項目銷售收入

按地址統計的NFT鑄造參與度

從6月到8月中旬，估計有75682個地址鑄造了NFT，平均每個地址生成3.16個獨一無二的NFT。有趣的是，大多數地址只創建了一個獨一無二的NFT項目。

這些以太坊收入會發生什么——或者這些項目是否會拋售你的ETH？

項目方如何處理他們收到的所有ETH？現在，我們只研究銷售收入超過20ETH的項目，并分析自6月以來從項目金庫中轉移的ETH。這通常是根據在Etherscan上記錄為內部交易的合約調用。

我們獲取接受人列表，并找出他們從各自項目中收到ETH后將ETH發送到哪些地址。

進一步獲取此地址列表并檢查它們是實體地址還是合約地址。如果是合約地址，我們不會跟蹤來自這些地址的任何進一步交易，并在下一步中將它們從發送人列表中刪除。如果不是，請找出他們在從以前的來源收到ETH后將ETH發送到哪些地址。

重復以上步驟2次。因此，總共發現了4個級別的轉移。

由于每個隨之的接收人地址花費的以太坊可能比從NFT銷售中收到的要多，因此沒有明確的方法來絕對限定他們花費的以太坊是否“來自”額外的NFT收入。然而，我們可以假設，每種類型實體的支出百分比應該是他們選擇如何支出收入的代表性衡量標準。結果如下。

大約52.3%的來自主要NFT銷售的以太坊仍在非實體錢包中流通。10.4%已用于DEX，作為流動性或兌換。3.6%已存入中心化交易所，而17.7%則重新注入NFT項目。這包括NFT鑄造和OpenSea或Rarible等市場。

我們刪除了流向非實體的ETH資金流，并更具體地檢查了流向實體部分的以太坊資金流。

幾乎22%的ETH資金流返回到OpenSea，大概是為了購買更多的NFT。幣安在CEX存款方面位居榜首，占據了流向實體的以太坊流量的13.75%。Uniswap以9%的比例緊隨其后。大約6%也用于與CryptoPunk相關的活動，可能作為購買的資金。

結論

NFT是一種全新的垂直產品，抓住了產品市場匹配契合點。然而，該行業仍然被某些追求利潤的行為所發現。還有一些鏈上跡象表明某些項目的創始人故意將某些項目地板價買高，這種行為可能表明正在進行洗牌交易。盡管如此，NFT鑄造的健康分布和獨一無二買家數量的增加表明NFT社區真的在有機增長。某些項目在他們自己的社區的治理下還通過將主要銷售收入再投資到NFT中，從而脫穎而出。

來源：Nansen

Tags：NFTETHNANANCNFTD幣Ethereum proWombex FinanceMagikarp Finance

DOGE