以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > ADA > Info

NFT 借貸平臺 XCarnival 被盜3000 ETH 事件分析_ETH:GOD

Author:

Time:1900/1/1 0:00:00

NFT借貸平臺@XCarnival_Lab大約7個小時之前被黑了,至少有3000個$ETH (約380萬美元)被盜。下面是該事件的簡要分析:

該NFT借貸平臺的合約有個bug:作為抵押品的NFT在取出后,其orderID仍然可用,可以此申請貸款。

?xNFT, NFT管理器. https://etherscan.io/address/0xb14b3b9682990ccc16f52eb04146c3ceab01169……?

一地址凌晨在Blur上拋售約200枚DeGods NFT:8月11日消息,一地址于凌晨在Blur上拋售約200枚DeGods NFT,目前Blur上DeGods地板價降至6.71ETH,OpenSea數據顯示,兩日前DeGods地板價為9.4ETH。

DeGods創始人Frank發推稱,對于DeGods和y00ts社區迄今為止的摸索,我們深表歉意。此前,DeGods宣布本周日(8月13日)起可以將DeGods更新到第三季。[2023/8/11 16:19:28]

?P2Controller, 很多借貸限制條件的驗證者.

CryptoPunk 685 NFT被意外銷毀:3月25日消息,據加密KOL @Punk9059在社交媒體披露Etherscan鏈上交易數據顯示,CryptoPunk 685在一次失敗的NFT封裝交易中被意外銷毀,該NFT原持有者是vitalitygrowth.eth,他在大約兩周前以77 ETH的價格購買了Punk 685。[2023/3/25 13:25:45]

黑客 https://etherscan.io/address/0xb7cbb4d43f1e08327a90b32a8417688c9d0b800a… 從Tornado中拿出了干壞事的啟動資金. 然后在OpenSea上購買了 #BAYC 5110。

Moonbirds系列NFT近24小時交易額增幅超100%:金色財經報道,OpenSea數據顯示,Moonbirds系列NFT近24小時交易額為130 ETH,24小時交易額增幅達199%,24小時交易額排名位列OpenSea第11。[2022/10/21 16:34:26]

他部署了一個總控合約 0xf706…ca8d https://etherscan.io/address/0xf70f691d30ce23786cfb3a1522cfd76d159aca8d……, 該合約生成了很多用來當女巫用同一個NFT進行借貸的馬仔合約,比如0x5338…3714 https://etherscan.io/address/0x53386a82e55202a74c6d83c7eede7a80ba553714…….

首先,總控將BAYC轉給某個馬仔(以0x5338為例)。馬仔然后調用xNFT中的pledgeAndBorrow()函數(抵押并貸款),抵押品為BAYC,但什么也沒貸(貸款為一個總控部署的假xToken合約,數量為0)。本步驟生成了一個orderID(43)。

本Tx中可以看到這些過程,不過只有internal transaction。如果想詳細解讀得自己深挖調用棧。馬仔5338然后取出剛才抵押的NFT,并還給總控。總控再把NFT給別的馬仔。如此左手倒右手循環,黑客搞出了幾十個orderID,之后可作為借款憑證。而有bug的xNFT并沒有在取出抵押物后撤銷憑證orderID。

下一步,總控讓所有馬仔依次從xETH合約里借錢。攻擊完成。黑客用空氣借走了真金白銀(NFT抵押品早就取出了)。這是其中一個tx。

上面的是大概過程。再來看下細節。在xNFT合約中,withdrawNFT()并咩有在取出后消除orderID。當P2controller調用getOrderDetail()時還是能取到這個ID。

在xETH中,borrow()會調用borrowInternal()然后調用controller.borrowAllowed() 來驗證orderID是否有效。

Tags:NFTETHGODEGODFirst Ever NFTtogetherbnb幾個女主gode-chainEGOD價格

ADA
DAO 為什么需要更好的去中心化身份工具?_NFT:GER

DAO的潛能要得以全部釋放,離不開去中心化身份工具。本文寫于V神的DeSoc論文發表之前,但關注的同樣是web3的匿名性、隱私性和用戶真實身份之間的糾纏關系.

1900/1/1 0:00:00
晚間必讀5篇 | 熊市之中 加密市場接下來將會發生什么?_BTC:BTC鮑爾曼俱樂

為什么OpenSea和Magic Eden的用戶體驗基本相同(首頁是發現頁,藏品頁左側有簡明線性索引條,相同的搜索展示等等)?或者,換句話說.

1900/1/1 0:00:00
金色觀察|灰度現貨比特幣ETF被拒起訴SEC 業內人士聲援_BTC:比特幣

美國證券交易委員會(SEC)周三已拒絕灰度將其135億美元的灰度比特幣信托(GBTC)轉換為現貨比特幣ETF的申請.

1900/1/1 0:00:00
Web5 是什么?會成為 Web3 的競爭對手嗎_WEB3:IPWeb

Twitter 和 Square 的創始人 Jack Dorsey(@jack)正在推出一個 Web3 的競爭對手:“Web5”.

1900/1/1 0:00:00
硅谷科技產品經理眼里的NFT效用和未來前景_MEME:元宇宙app官方版下載nft

NFT在未來會發展成什么樣子?作為一名IRL硅谷科技產品經理,我一直在觀察發展趨勢,評估相關數據。今天就來給大家分享一些我最近的研究發現.

1900/1/1 0:00:00
失敗的算法穩定幣項目:AMPL、ESD和Terra都遇到了什么問題?_TER:穩定幣USDT行情

Terra 生態的大崩盤已經注定載入區塊鏈史冊。其背后所代表的去中心化非足額抵押算法穩定幣也迎來了歷史的轉折點。本文分析了幾個歷史上算法穩定幣項目的問題,并得出了一些他們能帶給我們的教訓.

1900/1/1 0:00:00
ads