a16z:NFT新术,浅析「Sleep Minting」的与预防_NFT:SNFTS

原文来源:老雅痞

作为一个NFT收藏家,你应该关心链上的合约出处,NFT最真实的出处是直接从创造者的钱包或创造者拥有的智能合约中铸造出来的。然而,通过一些小技巧,有人可以使用一种被称为"SleepMinting"的技术来操纵NFT的创作者来源。

SleepMinting是指者直接将NFT铸造到一个著名的创作者的钱包,并从创作者的钱包中回收NFT。

这就造成了这样的假象:

(1)创作者自己真实地铸造了一个NFT;

(2)将该NFT发送给了一个子;

基于"链上"的出处,子可以声称他们拥有一个著名创作者铸造的NFT,并以更高的价值出售。

这在技术上是如何运作的?

首先,了解智能合约如何存储NFT的出处和所有权是至关重要的。任何人都可以使用ERC-721标准中的ownerOf(tokenId)函数查询NFT智能合约,以确定NFT的当前所有者是谁。你甚至可以通过改变eth_callRPC方法参数来查询特定区块编号的NFT所有者。然而,查看所有权变化的最简单方法是查看ERC-721传输事件日志。

Fortune:a16z对加密货币和区块链投资明显放缓:10月21日消息,据《财富》(Fortune)杂志披露,a16z参与的全球加密货币和区块链风险投资交易出现明显放缓的迹象。数据显示,管理着76亿美元资金的a16z Crypto在三季度仅有7笔加密和区块链风险投资交易,创下自2021年一季度以来的最低记录。另据据PitchBook的数据显示,a16z Crypto的投资规模也出现骤降从2022年一季度的24亿美元跌至三季度的约6亿美元,但仍高于2021年三季度。

对于《财富》披露的数据,a16z一位发言人表示,鉴于尚有投资交易尚未公开披露,因此该公司对相关数据无法给予确认。[2022/10/21 16:34:34]

我的a16zCrypto同事DarenMatsuoka在Twitter上写了一篇关于事件日志和它们如何工作的精彩文章。转移事件日志是由智能合约向外界发送的消息,包含关于NFT转移的细节。转移事件日志提供了一种有效的方式来检查NFT的来源。

a16z报告:DAO最好提交法律文件并进行纳税:6月3日消息,DAO的兴起引发了法律上的难题,即如何正式建立一个设计上并不真正想成为实体的实体。a16z提出了一套拟议的解决方案,并于周四发布了一份报告,称这类群体可能更适合安顿下来并缴纳美国税款。DAO将资金锁定在一个区块链上,一组参与者可以透明地朝向某个共同目标。a16z在其最近一次为DAO建立美国法律基础的公开努力中称,DAO需要“不要求进行真实世界的人类活动”的结构来满足法律要求——可能有利于非法人非营利组织(UNA)和有限责任公司(LLC)。面临的挑战是保持DAO的去中心化,同时允许它满足企业或非营利组织的税务要求和其他实际需求。

a16z总顾问兼去中心化负责人Miles Jennings和参与DAO研究小组的律师David Kerr撰写的论文称,使用受欢迎的离岸策略来避税可能会大大增加全球抵制的风险。美国国内结构对拥有大量美国成员和联系方的项目的实际好处是显而易见的,该文件总结道,并质疑在行业等待监管的同时进入免税司法管辖区是否真的是最佳的行动方案。(CoinDesk)[2022/6/3 4:00:07]

Sleepminting

NFT游戏初创公司Mythical Games完成1.5亿美元C轮融资,a16z领投:11月4日消息,在不到四个月前完成7500万美元B轮融资之后,NFT游戏初创公司Mythical Games今日宣布获得由a16z领投的1.5亿美元C轮融资,公司估值达到12.5亿美元。D1 Capital、RedBird Capital、The Raine Group和交易所Binance、FTX参投,现有投资者Galaxy Interactive、WestCap、01 Advisors、Javelin Partners、Struck Capital、Alumni Ventures和Signum Growth Investments追投。(businesswire)[2021/11/4 6:32:11]

这是beeple的数百万美元的作品"First5000Days"在rarible上出售。看看截图,上面清楚地写着"创造者:

声音 | 硅谷顶级风投a16z:支持从单抵押Dai向多抵押Dai过渡:据Andreessen Horowit官网消息,MakerDAO将于今日晚12时正式启动多抵押Dai。硅谷顶级风投Andreessen Horowit(a16z)发文称支持从单抵押Dai向多抵押Dai过渡,这一更改以及其他同步的治理改进,对于提高Dai的稳定性、降低系统风险和加速Maker生态系统的增长是必要的。[2019/11/18]

但这是个局。它的创造者MonsieurPersonne,也自称是NFTs的Banksy,故意用beeple的名字铸造了这幅作品,他使用了一种叫做sleepminting的技术。那么他是如何做到的呢?

基础知识

NFTs是使用ERC-721智能合约创建的,他们把NFTs的所有权记录作为一个列表。一个地址和一个作品的序列号组成一个对。像这样。

Alice:1

Booble:2

Malory:3

成交后,Alice可以通过以下方式将她的NFT转让给Booble。

转让1:Alice==>Booble

现在列表更新如下:

Alice:

Booble:2,1

Malory:3

在以太坊,我们用地址名字来识别,而且我们需要签署转账来授权。但是在这篇文章提供的例子中,我将使用明确的名字来简化解释。

现在,通常开发者以合理的方式实现ERC-721合约。Alice只有在她拥有一个NFT并能提供有效签名的情况下才可以转让。

ERC-721标准只是一个社会契约,它定义了一个允许艺术平台互操作的接口。只要合同的接口与ERC-721合同的接口相匹配,任何机器都会认为它是有效的。

但是,正如我们现在所看到的,这可能会导致以太坊上的NFTs出处出现安全问题,它是可以被篡改的。

正如我所说,任何合理的ERC-721合约都会允许矿工只为自己造币,并且只转让他们拥有的碎片。

但是,假设我们定制了我们的ERC-721合约,使我们可以向其他账户铸造。假设我们调整了转让功能,使我们的账户在某些情况下,也可以转让另一个人的NFT。那么,我们就可以建立一个允许我们sleepmint的合约。

举例:作为攻击者Malory,我们给Booble铸造一个序列号为1的作品。

mint1:address(0)=>Booble(由Malory执行)

现在我们的配对看起来如下:

Alice:

Booble:1

Malory:

然后,由于Malory已经调整了合同,将序列号为1的作品从Booble的账户转移到任何其他账户,她可以在像rarible这样的NFT平台上提供出售。

由于她从地址(0)到Booble的铸币为"创造者--Booble"被显示出来。

一旦Malory成功了一个买家,她就会收到她的"Ethers",并将假冒作品卖给买家。

转让1:Booble=>买方。

更新后的所有权记录现在是这样的。

Alice:

Booble:

Malory:

Buyer:1

就这样,Malory成功地篡改了NFT的创作出处记录,以高于其价值的价格出售了她的作品。

具体细节:

仔细查看rarible和Etherscan的信息,我们会发现这更像是一个接口问题,而不是一个安全漏洞。没有人能够进入beeple的账户。

另外,当仔细看一下交易记录时,可以发现子的手法:

伪造的mint交易

伪造的转账交易

对于mint交易,我们可以看到Etherscan显示两个"From"字段。一个是msg.sender发送的交易,另一个是说明NFT的发件人。

对于交易的发件人字段,即msg.sender,它不能被人为操纵,因为它需要发件人的私钥的有效签名。然而,对“TokensTransferred”的字段的授权受制于智能合约的漏洞,因此,可能会人为操纵。

简单地说,子可以对“TokensTransferred”字段进行任意修改。

因此,我们必须检查From和TokensTransferred是否都与beeple的正确地址相符。如果不是,那就是假的。

这种攻击它与"rugpull"类似,有人认为区块链使web2问题都消失了,因为每一个数据都是经过认证和检查授权的。但事实是,这些问题并没有消失。它们只是转移到了别的地方。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:0ms0-3:278ms