PUN:慢雾创始人余弦：3分钟了解CryptoPunks V1 (wrapped) ——漏洞导致的分叉文化

注：原文来自慢雾创始人余弦发布长推，MarsBit整理如下：

今天看到这篇文章科普了WrappedCryptoPunks：

https://m.marsbit.cc/newsdetailShare/20230423094035639766.html…

正好之前有一些笔记，也顺便分享出来，方便大家对早年分叉存在的CryptoPunksV1(wrapped)

慢雾科技启富：去中心化钱包安全核心在于私钥、助记词的存储及加密:11月6日消息，慢雾科技合伙人启富在做客《HyperPay焦点》栏目时提及：去中心化钱包的安全涉及到很多方面，最核心的是对私钥、助记词的存储及加密。用户在选择钱包时尽量选择国际知名、一流的钱包，同时注意看钱包App的代码是否开源、代码是否经过安全审计、团队内是否有CSO或安全负责人，这些都可能影响到钱包不断迭代、升级过程中的安全是否有保障。同时，作为用户一定要从钱包的官网下载App，避免误入钓鱼网站下载到被植入了后门的钱包App。[2020/11/6 11:51:30]

buyPunk函数：

声音 | 慢雾：使用中心化数字货币交易所及钱包的用户注意撞库攻击:据慢雾消息，近日，注意到撞库攻击导致用户数字货币被盗的情况，具体原因在于用户重复使用了已泄露的密码或密码通过撞库攻击的“密码生成基本算法”可以被轻易猜测，同时用户在这些中心化服务里并未开启双因素认证。分析认为，被盗用户之所以没开启双因素认证是以为设置了独立的资金密码就很安全，但实际上依赖密码的认证体系本身就不是个足够靠谱的安全体系，且各大中心化数字货币交易所及钱包在用户账号风控体系的策略不一定都一致，这种不一致可能导致用户由于“惯性思维”而出现安全问题。[2019/3/10]

punkNoLongerForSale(punkIndex);//这里面将msg.sender覆盖了offer.seller，导致下面的offer.seller引用实际上是指向msg.sender：

声音 | 慢雾安全团队：区块链技术本身存在安全缺陷 可参考以太坊漏洞赏金计划实现安全:据火讯财经报道，慢雾安全团队表示，区块链技术本身存在安全缺陷，研究区块链安全的可以参考以太坊漏洞赏金计划实现安全，包括：1. 客户端协议实现安全；2. 网络安全；3. 节点安全；4. 客户端应用安全；5. 算法使用安全；6. Solidity 语言安全；7. ENS 安全。[2018/7/2]

pendingWithdrawals+=msg.value;

修复的核心是：

addressseller=offer.seller;//每次buyPunk都会初始化这个seller，这样就确保seller不会被覆盖。

好，这是起源。后来LarvaLabs2017年就修复了。万万没想到，2022.1.17，V1Punks基于最早这个漏洞代码搞了所谓的真正的CryptoPunks，采用ERC721全新封装：https://v1punks.iohttps://etherscan.io/address/0x282bdd42f4eb70e7a9d9f40c8fea0825b7f68c5d#code…搞得有模有样，可能LarvaLabs最不该的就是卖了V1Punks，然后再踩一脚，导致V1Punks更知名了。参考：

TheTwoCryptoPunks,V1andV2:CanV1andV2CryptoPunksCoexistorWillCopyrightTearThemApart?

https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4032777

期间，因为LarvaLabs打官司，OpenSea一度下了V1Punks，不过后来又恢复了：https://opensea.io/collection/official-v1-punks…至此，V1Punks的文化诞生。LarvaLabs正统的CryptoPunks等卖给了BAYC的公司YugaLabs。

这段历史挺有意思，对于安全研究来说也很有意义，一个漏洞导致的分叉文化。

标签：PUNKPUNPUNKSNKSNFTPUNK价格BPUNKS币GPUNKS20Gan Punks

DOGE热门资讯