3月,Beosin正式推出新栏目Beosin Talk,我们将和Web3行业内的大咖、专家学者等,共同讨论近期市场热议的话题。
谈起NFT,持有它的人期望获得什么?拥抱一种新技术?还是看好它的发展前景或作为一种投机资产?此前Blur空投再次带动NFT的火热,NFT的交易大战也让行业人士展开了热烈的讨论。
3月1日,Beosin邀请到几位嘉宾以《Blur狂飙带动NFT回暖,投资NFT我们需要注意什么?》为主题进行了探讨,除了市场热议的话题,我们也分享了很多NFT的相关安全知识。
Legal DAO Founder—— MasterLiCrypto Wesearch co-founder—— AlvinBeosin两位安全研究专家——Ashton 、Saya1. Blur带动NFT市场回暖,大家怎么看待目前火热的NFT市场?
@Herbert:面对这波NFT热潮,Internet Computer社区还是相对比较冷静的,注意力还是在构建C端应用,比如在未来几天即将公募的即时聊天工具OpenChat。此外目前NFT还是比较中心化的,每种NFT的交易量主要由前几十个钱包掌控。我们不能因为NFT的财富效应而忽略了它背后可能的技术革新以及能为用户带来什么价值。这也是IC社区关注和致力于解决的问题。@Master Li:Blur解决了NFT的流动性需求,在此基础上还提供了很好的产品体验和运营服务。但从法律层面的角度,目前监管机构是从监管电商网站的角度来看待NFT交易市场,所以NFT交易市场面临的监管压力不大。但Blur让NFTfi的概念受到广泛关注,并且声称面向专业交易者。这让NFT从一个消费品的概念转变为金融衍生品,可能会让NFT交易市场在未来面临更严格的监管。@Alvin:Blur的出现有助长NFT市场回暖,帮助NFT交易者节省了手续费。个人有关注香港系列的NFT,热度都很不错,也有在研究NFTfi的相关协议。个人比较看好NFTfi的发展,在未来NFTfi会是一个重要的叙事。@Ashton:NFT交易市场的火热只是在Blur这个平台上。从一些平台数据来看,其它NFT平台交易量并没有什么提升,只是Blur在空投后交易量暴涨,但这种交易量不可持续。2. 大家对空投造成的财富效应怎么看?会有FOMO情绪吗?@Herbert:FOMO情绪其实在各个社区很常见。Blur的空投策略是值得其它项目方学习的。比如IC生态里的OpenChat,它会在项目发展的过程中将它智能合约的所有权完全交给社区。上次AMA中,社区很关注它是否会有空投。如何设计空投以涵盖早期的用户各种行为,如何做到比较公正的空投以避免女巫账户,这是项目方需要思考的。@Master Li:OpenSea和Blur选择了不一样的道路。Blur的产品和运营是比较好,发币后平台交易量再上了一个台阶,个人还是希望它能持续运营下去的。另外就是Blur发币太直接了。我没看到有相关的法律文档,也不清楚公司框架。这可能会让它在未来面临危险。@Alvin:当市场到了非常FOMO的状态时,我还是应该退出来,作为一个旁观者。目前Blur非常火热,那么可以寻找其它NFTfi协议的机会。此外Blur的空投做得非常成功,吸引了大部分市场的注意力,个人比较关注未来Blur在ERC1155的布局。@Ashton:在空投前我们给Blur的估值为10亿美元,但代币正式上线后Blur的总市值超过了20亿美元,这一波Blur的财富效应是很不错的。NFTfi是一个热点,但不会是最重要的热点。Blur在代币空投前举行了三次活动:第一次给用户空投Blur的盲盒,后面两次让用户刷积分。这样留存了用户,也维持了项目热度。3. Dfinity的Internet Computer相比其它链上生态,Dfinity上的项目具备哪些优势?@Herbert:Dfinity的优势在于Dfinity其实更像是去中心化的AWS,在Dfinity上发行NFT可以将所有的数据都存在链上,目前在Dfinity上存1GB的数据一年只需几美元。另外部署在Dfinity上的智能合约可以很方便地升级,与Web2的软件更新流程类似,这对于NFT项目来说可以让项目方快速地迭代到满足需求的产品。在Dfinity上几乎没有gas费,每笔交易只需0.0001个ICP。目前在NFT方面,我们在考虑将Bitcoin的Ordinals引入Dfinity。因为在去年12月份,Dfinity完成了和BTC的集成,这意味着在Dfinity上的智能合约可以发起一个签名来控制BTC主网上的一个钱包地址,解锁了很多应用场景。@Herbert:在Dfinity生态里没有发生过NFT被盗的事件,不过最近有一个活跃的Dfinity开发者被钓鱼攻击,他损失了他在以太坊上的全部资产。对于Dfinity生态的NFT项目,最大的风险还是项目方跑路,这对投资者打击是很大。对于NFT安全,Dfinity很少遇见安全事故。因为Dfinity是使用Internet Identity而不是公钥私钥配对,私钥是直接存储到设备上,通过用户生物信息认证身份。这样的设计让因为钱包安全问题而导致资产损失的事件很少发生。@Master Li:身边NFT被盗的经历非常多。在之前有和Beosin讨论给NFT设计标准,但发现项目方在安全方面能做的事情比较少,最重要的还是在用户端。用户这边需要注意安全,比如装Beosin的安全插件来避免恶意攻击。@Alvin:不只是新人,有经验的开发者都会有NFT被盗的经历。我们给社群的建议是使用一些安全插件,比如Beosin Alert,Fire合约可读插件,这些都是可以有效帮助大家避免损失的工具。另外就是可以定期地更换钱包或者开一个多签合约来保护自己的资产。5. NFT项目方和用户一般会遇到哪些安全问题?平时如何防范自己的NFT被盗?@Saya:此前安全专家Jason被钓鱼的的时候找到我们讨论,后来我们发现是黑客通过控制了官方Discord发布领取空投的假信息,这让Jason放松了警惕并签署了一笔签名的交易,但好在这个签名过期了还没有生效,所以他的资产目前是安全的。一般钓鱼攻击是通过黑进某些大V或者项目的账户发布空投信息,诱导用户签名从而转移资产。用户在平时交易时习惯了授权,但像setapprovalforall()、increaseallowance()、盲签和多协议组合都是非常危险的授权。MetaMask钱包的两种存在危险的签名方式,一个是eth_sign这种签名方式,这种签名方式的话,它是可以对任意的哈希值进行一个签名。它的危险程度不仅仅是因为盲签,而且它还可以把你所有原生资产给转走。然后第二种是personal_sign这种方式,那这个方式的话,这种签名方式它也是支持盲签的。所以说作为一个用户的话,如果你在签名的时候看到钱包上出现了红色的警告,那说明这笔交易可能会有风险,或者是签名的内容展示的都是一些你不熟悉的二进制的数字,那就尽量不要签署这笔交易。最近除了Discord被盗,telegram账号被盗的事件也特别多。第一种是其通过短信冒充telegram官方声称你的账号因违法某些规则会被禁止使用,让你点击钓鱼链接导致账户被盗。第二种是诱导用户截屏泄露自己的登陆密码,加上他们并没有开通telegram账户的two factor authentication导致账户被盗。NFT合约安全:ERC721标准与ERC1155标准不同,ERC721没有数量的概念,项目方在做购买NFT计算金额这部分时如果混淆了这两种标准,就可能导致一些问题。还有就是比较常见的重入问题和逻辑问题,比如之前的CryptoNinja World的burn函数没有做任何鉴权直接裸露在外面,任何人都可以销毁任意的CryptoNinja World NFT。这种错误其实是在审计过程中就可以发现的,所以建议项目方在上线前最好完成一个全面的代码审计。此外Blur的合约风险在于它的Execution模块负责代币的转移,而它只检查调用者是否能转移代币。这意味着合约的持有者是有可能在映射中添加其它地址作为调用者转移用户的代币,所以建议用户对于Blur还是持一个审慎的态度。@Master Li:NFT被盗后维权其实在法律层面可以做很多事,只是需要考虑效率和成本的问题。一个标准解决方案是寻找像Beosin这类的安全公司追踪被盗资产,在追踪过程中发现线索来启动相应的法律程序。之前有一个案例很有意义:有两件Boss Beauties NFT系列的NFT被盗,受害者经过追踪找到了盗窃者的身份,英国法院通过NFT发传票给盗窃者。这样其实是有机会追回被盗资产的。好了,今天的Beosin Talk分享结束了,我们下期再会。Beosin作为一家全球领先的区块链安全公司,在全球10多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规KYT/AML等“一站式”区块链安全产品+服务,目前已为全球3000多个区块链企业提供安全技术服务,审计智能合约超过3000份,保护客户资产高达5000多亿美元。欢迎点击公众号留言框,与我们联系。