简析 Blur、Element、Gem 等 NFT 交易平台竞争优势差异

作者：dily_xz

看到那么多无脑吹Blur的服了，APT空投吹APT，Blur空投吹Blur

今天仔细研究了一下他们产品，写个总结记录一下，顺便横向对比一下其他交易市场，先上结论：

满足极少用户的产品，而且目前跨链交易的Gas费控制极差，不建议使用。

1）为了方便阐述我的想法，画了一张图方便解释，顺便也整理一下思路简单来说，NFT交易用户可以分三部分：NFT小白用户、普通用户、专业人士。

LendHub被黑简析：系LendHub中存在新旧两市场:金色财经报道，据慢雾安全区情报，2023 年 1 月 13 日，HECO 生态跨链借贷平台 LendHub 被攻击损失近 600 万美金。慢雾安全团队以简讯的形式分享如下：

此次攻击原因系 LendHub 中存在两个 lBSV cToken，其一已在 2021 年 4 月被废弃但并未从市场中移除，这导致了新旧两个 lBSV 都存在市场中。且新旧两个 lBSV 所对应的 Comptroller 并不相同但却都在市场中有价格，这造成新旧市场负债计算割裂。攻击者利用此问题在旧的市场进行抵押赎回，在新的市场进行借贷操作，恶意套取了新市场中的协议资金。

目前主要黑客获利地址为 0x9d01..ab03，黑客攻击手续费来源为 1 月 12 日从 Tornado.Cash 接收的 100 ETH。截至此时，黑客已分 11 笔共转 1,100 ETH 到 Tornado.Cash。通过威胁情报网络，已经得到黑客的部分痕迹，慢雾安全团队将持续跟进分析。[2023/1/13 11:11:00]

2）人数最多的的用户，他们对钱包原理不是特别清楚，也没有太高的安全意识，还按照Web2的习惯看待NFT产品所以针对这些用户有好多产品，比如币安的NFT交易所、TP，不安全，但是方便啊但是目前这些用户是最多的，但是还没有哪个平台完全满足这些人的需求，简单、安全、方便

Beosin：SheepFarm项目遭受攻击事件简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，BNB链上的SheepFarm项目遭受漏洞攻击，Beosin分析发现由于SheepFarm合约的register函数可以多次调用，导致攻击者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函数增大自身的gems，再利用upgradeVillage函数在消耗gems的同时累加yield属性，最后调用sellVillage方法把yield转换为money后再提款。本次攻击导致项目损失了约262个BNB，约7.2万美元。Beosin Trace追踪发现被盗金额仍在攻击者账户，将持续关注资金走向。[2022/11/16 13:10:39]

3）其实目前市场的核心力量在腰部用户，也就是普通用户他们已经可以熟练的使用钱包了，而且对各种钓鱼方式也比较注意，各个Web3产品也如数家珍这个市场也是目前厮杀比较激烈的区域，包括龙头Opensea、Element、X2Y2、Looks等平台。

慢雾：跨链互操作协议Nomad桥攻击事件简析:金色财经消息，据慢雾区消息，跨链互操作协议Nomad桥遭受黑客攻击，导致资金被非预期的取出。慢雾安全团队分析如下：

1. 在Nomad的Replica合约中，用户可以通过send函数发起跨链交易，并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根，其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。

2. 项目方在进行Replica合约部署初始化时，先将可信根设置为0，随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0，这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。

3. 因此攻击者可以直接构造任意消息，由于未经过prove因此此消息映射返回的根是0，而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效，导致了攻击者任意构造的消息可以正常执行，从而窃取Nomad桥的资产。

综上，本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0，且在进行可信根修改时并未将旧根失效，导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]

4）还有就是提到Blur，他是一些专业人士需要的平台，追求原教旨主义、专业的交易平台、注重交易成本之前这个领域一直是Gem和Genie的区域，现在Element也支持聚合交易，可以满足跨市场扫货的需求，Gas费用还便宜现在Blur是比这几家还要极致，做的更加的专业化和细分

慢雾：Harmony Horizon bridge遭攻击简析:据慢雾安全团队消息，Harmony Horizon bridge 遭到黑客攻击。经慢雾 MistTrack 分析，攻击者（0x0d0...D00）获利超 1 亿美元，包括 11 种 ERC20 代币、13,100 ETH、5,000 BNB 以及 640,000 BUSD，在以太坊链攻击者将大部分代币转移到两个新钱包地址，并将代币兑换为 ETH，接着将 ETH 均转回初始地址（0x0d0...D00），目前地址（0x0d0...D00）约 85,837 ETH 暂无转移，同时，攻击者在 BNB 链暂无资金转移操作。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/6/24 1:28:30]

5）但是越往上用户是越少的，也就是说Blur的目标人群极少，会比Gem和Genie还少这是最大的问题，他的天花板太低了，甚至就是个地板的用户量还有他的UI，因为他大量的使用了像素风格，像素风格喜欢的人很喜欢，不喜欢的人是真不习惯，大多数人知道像素风么

Force DAO 代币增发漏洞简析:据慢雾区消息，DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现： 在用户进行 deposit 操纵时，Force DAO 会为用户铸造 xFORCE 代币，并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度，当用户的授权额度不足时 transferFrom 函数返回 false，而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行，xFORCE 代币被顺利铸造给用户，但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法，但外部合约在对其进行调用时并未严格的判断其返回值，最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查，以避免此问题的发生。[2021/4/4 19:45:30]

6）还有就是他的设计理念，不太在乎普通人的感受，我虽然买了很多NFT但是自认算是普通交易者我没有找到关于合集的信息，包括Twitter、官网等信息，更不用说基础的数据分析了。这就把太多人挡在门外了。

7）我针对单个NFT分别测试了Element、Opensea、Blur的Gas费用Element：4.63Element：5.14Opensea：5.07Blur：10.5因为大部分都是聚合Opensea的，所以Opensea最便宜，但是Element自有更便宜。

8）大家经常使用的是聚合，Element因为是聚合了Opensea所以肯定会比Opensea高一点。但是，但是BlurGas居然高达10.5u，我当时就蒙了……最后才发现是他的业务逻辑太复杂了，Gas费用飙升，但是只是聚合交易而已你在做什么呢？当然除了单个的我还做了批量扫货的聚合交易测试。

9）针对5个NFT批量测试了Element、Opensea、Blur的Gas费用Element：22.33Element：17.77Opensea：15.59Blur：56.38太贵了，虽然只是预估价格，我还专门买了NFT测试，结果也是是真贵，他的聚合合约逻辑太复杂了。

10）大家也在找各自的定位，但是Blur目前的定位非常不看好而且真正的专业交易者会直接调用OpenseaAPI不会经过他的合约再来一道，便宜、快、安全。

目前关注Opensea的求新求变，Element和X2Y2根据社区用户的产品迭代。以上，供大家参考。

标签：FORCEFORORCBLUWork Force CoinForest KnightTHORChainDoge Blue

波场热门资讯