火星链 火星链
Ctrl+D收藏火星链
首页 > BNB > 正文

BOO:a16z:浅析NFT新术「Sleep Minting」的原理与预防

作者:

时间:1900/1/1 0:00:00

作为一个NFT收藏家,你应该关心链上的合约出处,NFT最真实的出处是直接从创造者的钱包或创造者拥有的智能合约中铸造出来的。然而,通过一些小技巧,有人可以使用一种被称为"SleepMinting"的技术来操纵NFT的创作者来源。

SleepMinting是指者直接将NFT铸造到一个著名的创作者的钱包,并从创作者的钱包中回收NFT。这就造成了这样的假象:(1)创作者自己真实地铸造了一个NFT;(2)将该NFT发送给了一个子;基于"链上"的出处,子可以声称他们拥有一个著名创作者铸造的NFT,并以更高的价值出售。这在技术上是如何运作的?首先,了解智能合约如何存储NFT的出处和所有权是至关重要的。任何人都可以使用ERC-721标准中的ownerOf(tokenId)函数查询NFT智能合约,以确定NFT的当前所有者是谁。你甚至可以通过改变eth_callRPC方法参数来查询特定区块编号的NFT所有者。然而,查看所有权变化的最简单方法是查看ERC-721传输事件日志。我的a16zCrypto同事DarenMatsuoka在Twitter上写了一篇关于事件日志和它们如何工作的精彩文章。转移事件日志是由智能合约向外界发送的消息,包含关于NFT转移的细节。转移事件日志提供了一种有效的方式来检查NFT的来源。

Palmer宣布完成1000万美元融资,a16z合伙人Anish Acharya领投:金色财经报道,跨境支付初创公司Palmer宣布完成1000万美元融资,a16z普通合伙人Anish Acharya以800万美元的出资额领投。种子轮融资的其他参与者包括 Motivate VC、PS27 Ventures 和 Bridgeport Partners,以及来自 RRE Ventures 和 Transcard 的 SAFE 转换。一批战略性个人投资者也参与了最新的融资。Payall 此前通过种子前融资和 SAFE 融资筹集了 820 万美元。[2022/9/15 6:59:01]

链游《王国联盟》完成300万美元融资,A16z参投:12月17日消息,策略链游League of Kingdoms Arena(《王国联盟》)宣布完成300万美元种子轮融资,投资者包括Andreessen Horowitz (a16z Crypto), Binance Labs, 红杉资本印度(Sequoia Capital India), BlockTower Capital, 以及战略投资者Sky Vision Capital, Yield Guild Games (YGG),和韩国区块链生态创建者 DeSpread。这笔资金将用于为玩家拥有的《王国联盟》治理和增强的世界中的“Play-to-Earn”经济建立基础设施,同时加速已拥有超过 200,000 名活跃游戏玩家的全球社区的发展。[2021/12/17 7:45:21]

SleepMinting的局

a16z合伙人提出NFT新概念:互联网所有权单元:11月12日消息,a16z合伙人Chris Dixon在推特上提出了一个NFT新概念,NFT=Unit of Ownership on the Internet,即互联网所有权单元。Chris Dixon此前曾表示,NFT会成为个人身份的一部分,当社区参与度越强,NFT的价值就越能得到强化。[2021/11/12 21:45:35]

大众认为,如果你发送交易来转移NFT,那么你的地址应该在event中作为"from"字段。然而,当一个子从一个著名的创造者那里取回一个sleepingNFT时,情况就不是这样了。子可以人为地将著名创作者的地址加上"from"字段。Sleepminting这是beeple的数百万美元的作品"First5000Days"在rarible上出售。看看截图,上面清楚地写着"创造者:

a16z致信美国政府:支持基建法案修正案,提议构建具有参与性和包容性的基础设施:8月5日消息,硅谷风投机构Andreessen Horowitz (a16z)致信美国国会参议院多数党领袖Schumer和少数党领袖McConnell,表示支持由美国参议员Wyden、Lummis和Toomey针对基建法案的修正案,并称目前关于加密货币交易征税的条款过于宽泛,将席卷非中介机构,如网络验证者和软件开发者,并会通过对这些团体施加不可行的申报要求来扼杀创新。加密货币世界的范围远超出其金融起源,包括艺术品、社区发展和组建组织的新方式,随着整个新经济体建立在去中心化的协议上,这些用例只会继续增长,不同的加密货币用途适用于不同的监管规则。a16z强调,如果该法案未按照修正案跟更新,这将与此基础设施目标背道而驰。国家可以提供一个替代方案,即构建具有参与性和包容性的基础设施。[2021/8/5 1:36:00]

Near主网POA版本上线,完成2160万美元融资,a16z领投:开放性网络平台Near宣布主网POA版本已经正式上线,该团队同时宣布,完成2160万美元融资,由a16z领投,另有 40 家投资机构参与本领融资,包括Pantera Capital、Libertus、Blockchange、Animal Ventures、Distributed Global、 Notation Capital等。

Near团队宣布,主网POA版本上线意味着该协议的多阶段发布正式开启,开发者已经可以在基于 NEAR 协议的智能合约平台上创建DApp,这些DApp的状态也可以保持下去。NEAR曾在2019 年完成1210万美元融资,当时由 Metastable 和 Accomplice 领投,?Pantera、Multicoin Capital、ACapital、Coinbase Ventures、Scalar Capital 和 Ripple 旗下的 Xpring 参投,Naval Ravikant、Andrew Keys、Michael Arrington 和 Balaji Srinivasan 等一众著名天使投资人也参与了上轮投资。[2020/5/5]

但这是个局。它的创造者MonsieurPersonne,也自称是NFTs的Banksy,故意用beeple的名字铸造了这幅作品,他使用了一种叫做sleepminting的技术。那么他是如何做到的呢?基础知识NFTs是使用ERC-721智能合约创建的,他们把NFTs的所有权记录作为一个列表。一个地址和一个作品的序列号组成一个对。像这样。Alice:1Booble:2Malory:3成交后,Alice可以通过以下方式将她的NFT转让给Booble。转让1:Alice==>Booble现在列表更新如下:Alice:Booble:2,1Malory:3在以太坊,我们用地址名字来识别,而且我们需要签署转账来授权。但是在这篇文章提供的例子中,我将使用明确的名字来简化解释。现在,通常开发者以合理的方式实现ERC-721合约。Alice只有在她拥有一个NFT并能提供有效签名的情况下才可以转让。ERC-721标准只是一个社会契约,它定义了一个允许艺术平台互操作的接口。只要合同的接口与ERC-721合同的接口相匹配,任何机器都会认为它是有效的。但是,正如我们现在所看到的,这可能会导致以太坊上的NFTs出处出现安全问题,它是可以被篡改的。正如我所说,任何合理的ERC-721合约都会允许矿工只为自己造币,并且只转让他们拥有的碎片。但是,假设我们定制了我们的ERC-721合约,使我们可以向其他账户铸造。假设我们调整了转让功能,使我们的账户在某些情况下,也可以转让另一个人的NFT。那么,我们就可以建立一个允许我们sleepmint的合约。举例:作为攻击者Malory,我们给Booble铸造一个序列号为1的作品。mint1:address(0)=>Booble(由Malory执行)现在我们的配对看起来如下:Alice:Booble:1Malory:然后,由于Malory已经调整了合同,将序列号为1的作品从Booble的账户转移到任何其他账户,她可以在像rarible这样的NFT平台上提供出售。由于她从地址(0)到Booble的铸币为"创造者--Booble"被显示出来。

一旦Malory成功了一个买家,她就会收到她的"Ethers",并将假冒作品卖给买家。转让1:Booble=>买方。更新后的所有权记录现在是这样的。Alice:Booble:Malory:Buyer:1就这样,Malory成功地篡改了NFT的创作出处记录,以高于其价值的价格出售了她的作品。具体细节:仔细查看rarible和Etherscan的信息,我们会发现这更像是一个接口问题,而不是一个安全漏洞。没有人能够进入beeple的账户。另外,当仔细看一下交易记录时,可以发现子的手法:伪造的mint交易伪造的转账交易

对于mint交易,我们可以看到Etherscan显示两个"From"字段。一个是msg.sender发送的交易,另一个是说明NFT的发件人。对于交易的发件人字段,即msg.sender,它不能被人为操纵,因为它需要发件人的私钥的有效签名。然而,对“TokensTransferred”的字段的授权受制于智能合约的漏洞,因此,可能会人为操纵。简单地说,子可以对“TokensTransferred”字段进行任意修改。因此,我们必须检查From和TokensTransferred是否都与beeple的正确地址相符。如果不是,那就是假的。这种攻击它与"rugpull"类似,有人认为区块链使web2问题都消失了,因为每一个数据都是经过认证和检查授权的。但事实是,这些问题并没有消失。它们只是转移到了别的地方。

标签:NFTQUOBOOBOOBNFTP价格QuotientBAMBOO币BOOBA币

BNB热门资讯
TWI:对话AC:如果你刚开始做项目,100%建议你使用匿名账户

AndreCronje走了,轻轻地走了,正如他轻轻地来,关于AndreCronje,有太多的传奇和情绪.

1900/1/1 0:00:00
OIN:CBOE数据合作方「CoinRoutes」,想做面向机构的高效智能订单路由

据官方公告,数字资产算法交易平台CoinRoutes已完成1600万美元的B轮融资,由AyonCapital领投.

1900/1/1 0:00:00
AIN:Chainlink 2022春季黑客松开始报名

Chainlink2022春季黑客松现已正式开放报名!此次Chainlink黑客松将于4月22日开始,旨在为整个生态系统的构建者提供所需资源,加速Web3创新,增加去中心化应用程序的采用.

1900/1/1 0:00:00
KEN:深度探讨DAO的协作方式:如何引导与激励人们为DAO工作?

这是PAKA盘DAO系列的第二篇,上一篇我们对DAO的探讨围绕Token与治理展开,而本篇的探讨将围绕人和协作进行.

1900/1/1 0:00:00
DEF:为什么Web2的巨头无法做出Web3的杰出产品?

2021年7月份,Paradigm和Uniswap团队发表了一篇DEX的数学论文TWAMM,通过在数学上将T消元,让算法自动执行一笔时间T内的撮合订单.

1900/1/1 0:00:00
STEP:全方位读懂币安Launchpad最新项目?STEPN

据官方公告,币安即将上线第28个项目STEPN,并开启BNB专场,此次售卖将基于投入模式,币安将根据用户7日的BNB日平均持仓确定用户可投入额度.

1900/1/1 0:00:00