看到那么多无脑吹捧Blur的服了,APT空投吹APT,Blur空投吹捧Blur今天仔细研究了一下他们产品,写个总结记录一下,顺便横向对比一下其他交易市场,先上结论:满足极少用户的产品,而且目前跨链交易的Gas费控制极差,不建议使用。感兴趣的可以点个关注。我也会不定期整理一些前沿资询和项目点评,欢迎各位志同道合的币圈人一起来探索。有问题可以评论提问或者私信,所有资讯平台均为Crypto杰瑞?编辑切换为居中添加图片注释,不超过140字1)为了方便阐述我的想法,画了一张图方便解释,顺便也整理一下思路简单来说,NFT交易用户可以分三部分:NFT小白用户、普通用户、专业人士。2)人数最多的的用户,他们对钱包原理不是特别清楚,也没有太高的安全意识,还按照Web2的习惯看待NFT产品所以针对这些用户有好多产品,比如币安的NFT交易所、TP,不安全,但是方便啊但是目前这些用户是最多的,但是还没有哪个平台能够完全满足这些人的需求,简单、安全、方便3)其实目前市场的核心力量在腰部用户,也就是普通用户他们已经可以熟练的使用钱包了,而且对各种钓鱼方式也比较注意,各个Web3产品也如数家珍这个市场也是目前厮杀比较激烈的区域,包括龙头Opensea、Element、X2Y2、Looks等平台。4)还有就是提到Blur,他是一些专业人士需要的平台,追求原教旨主义、专业的交易平台、注重交易成本之前这个领域一直是Gem和Genie的区域,现在Element也支持聚合交易,可以满足跨市场扫货的需求,Gas费用还便宜现在Blur是比这几家还要极致,做的更加的专业化和细分5)但是越往上用户是越少的,也就是说Blur的目标人群极少,会比Gem和Genie还少这是最大的问题,他的天花板太低了,甚至就是个地板的用户量还有他的UI,因为他大量的使用了像素风格,像素风格喜欢的人很喜欢,不喜欢的人是真不习惯,大多数人知道像素风么?编辑切换为居中添加图片注释,不超过140字6)还有就是他的设计理念,不太在乎普通人的感受,我虽然买了很多NFT但是自认算是普通交易者我没有找到关于合集的信息,包括Twitter、官网等信息,更不用说基础的数据分析了。这就把太多人挡在门外了。7)我针对单个NFT分别测试了Element、Opensea、Blur的Gas费用Element:4.63Element:5.14Opensea:5.07Blur:10.5因为大部分都是聚合Opensea的,所以Opensea最便宜,但是Element自有更便宜。?编辑添加图片注释,不超过140字?8)大家经常使用的是聚合,Element因为是聚合了Opensea所以肯定会比Opensea高一点。但是,但是BlurGas居然高达10.5u,我当时就蒙了……最后才发现是他的业务逻辑太复杂了,Gas费用飙升,但是只是聚合交易而已你在做什么呢?当然除了单个的我还做了批量扫货的聚合交易测试。9)针对5个NFT批量测试了Element、Opensea、Blur的Gas费用Element:22.33Element:17.77Opensea:15.59Blur:56.38太贵了,虽然只是预估价格,我还专门买了NFT测试,结果也是是真贵,他的聚合合约逻辑太复杂了。?编辑添加图片注释,不超过140字10)大家也在找各自的定位,但是Blur目前的定位非常不看好而且真正的专业交易者会直接调用OpenseaAPI不会经过他的合约再来一道,便宜、快、安全。
Beosin:SEAMAN合约遭受漏洞攻击简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,2022年11月29日,SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时,都会将SEAMAN代币兑换为凭证代币GVC,而SEAMAN代币和GVC代币分别处于两个交易对,导致攻击者可以利用该函数影响其中一个代币的价格。
攻击者首先通过50万BUSD兑换为GVC代币,接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币,此时会触发合约将能使用的SEAMAN代币兑换为GVC,兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD,接下来在BUSD-GVC交易对中将BUSD兑换为GVC,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,会消耗BUSD-GVC交易对中GVC的数量,从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD,获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),将持续关注资金走向。[2022/11/29 21:10:04]
目前关注Opensea的求新求变,Element和X2Y2根据社区用户的产品迭代。以上,供大家参考。感兴趣的可以点个关注。我也会不定期整理一些前沿资询和项目点评,欢迎各位志同道合的币圈人一起来探索。有问题可以评论提问或者私信,所有资讯平台均为Crypto杰瑞
慢雾:Inverse Finance遭遇闪电贷攻击简析:据慢雾安全团队链上情报,Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。
2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。
3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。
4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。
针对该事件,慢雾给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/6/16 4:32:58]
慢雾:BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报,币安智能链项目 Value DeFi 的 vSwap 模块被黑,慢雾安全团队第一时间介入分析,并将结果以简讯的形式分享,供大家参考:
1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币;
2. 攻击者在兑换的同时也进行闪电贷操作,因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者;
3. 而在完成整个兑换流程并更新池子中代币数量前,会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期;
4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70,因此将会采用第二种算法对池子中的代币数量进行检查;
5. 而漏洞的关键点就在于采用第二种算法进行检查时,可以通过特殊构造的数据来使检查通过;
6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的;
7. 在通过对此算法进行具体分析调试后我们可以发现,在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时,池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围,在此范围内此算法检查都将通过;
8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时,将池子中的大量 WBNB 代币通过闪电贷的方式借出,由于算法问题,在不归还闪电贷的情况下仍可以通过 vSwap 的检查;
9. 攻击者只需要在所有的 vSwap 池子中,不断的重复此过程,即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。