| un.Block 区块链周报 2021 #16:PolyNetwork, ERC721 | 您所在的位置:网站首页 › polynetwork › un.Block 区块链周报 2021 #16:PolyNetwork, ERC721 |
un.Block 区块链周报 2021 #16:PolyNetwork, ERC721
|
👨🚀 Glaze & Jasmine:un.Block 海外版筹备中!团队设计师招募! 如果你喜欢本期内容,不妨在阅读后给我们点个 ❤️ ,并在下方订阅 un.Block Weekly ⬇️ 🚀 链圈热闻:PolyNetwork 被黑 这周黑客攻击了 PolyNetwork,并盗取了有史以来最大的金额,约 6 亿美金。邻近周末的时候,黑客几乎归还了全部资产。 相信读过我们上一期周报的读者对于 PolyNetwork 不会陌生。O3 Swap 跨链部分的实现就得益于 PolyNetwork 这样的跨链桥。本次 O3 Swap 也遭到了黑客攻击的影响。 攻击手法 关于 PolyNetwork 的架构,可以参考上一期。 简单的来说,这一次的问题在于黑客成功的让 PolyNetwork 的合约执行了更换管理员(Keeper)的操作。黑客将管理员更换为自己后,从多签钱包中盗取了资金。 具体的来说,这次攻击涉及到两个合约,EthCrossChainData 和 EthCrossChainManager 。其中 EthCrossChainManager 为 EthCrossChainData 的管理员。 此次攻击中,核心是 EthCrossChainManager.verifyHeaderAndExecuteTx() 。此函数会验证跨链交易的真实性,并调用内部函数 EthCrossChainManager._executeCrossChainTx() 来执行跨链交易。黑客通过精心构造的数据,使 EthCrossChainManager 执行了更换管理员(Keeper)的交易。 Solidity 通过函数名称哈希的前四位来鉴别函数。 bytes4(keccak256(abi.encodePacked(_method,"(bytes,bytes,uint64)")))也就是说攻击者可以通过输入不同的 _method 来调整哈希的前四位,直到这四位字符与他想要调用的函数哈希的前四位一致即可。通过这样的哈希碰撞,攻击者使 EthCrossChainManager 执行了更换 管理员(Keeper)的交易。 修复大部分时候我们读的都是 Farming,代币之类的代码,很少会看跨链的代码。因此这一次安全事件对我们来说是全新的体验,攻击者利用了一个从未被利用过的漏洞思路。这次安全事件揭示了跨链合约对于权限管理的疏忽。我们应该分离重要权限,或者限制用户调用敏感函数。 小插曲 在黑客攻击发生后,有用户在发给黑客的交易中提醒他 Tether 已经冻结了他的 USDT 资产。为此黑客打赏了这名用户 13.37 eth($42k)。在这之后,无数的用户给黑客发送各种消息,希望获得打赏。这名获得打赏的用户或许为了规避风险,将这笔钱尽数捐赠给各个机构。 这名黑客最后归还了盗窃的资产,或许是因变现困难,又或者各个安全公司多多少少从他的蛛丝马迹中推断出了一些关键信息。 📔 相关阅读:黑客打赏慢雾:黑 6.1 亿美金的 Poly Network 事件分析与疑难问答PolyNetwork Hacked🍼 保姆级教程:ERC721 最近 NFT 市场火爆,大家要理性投资噢 NFT 背后的技术是 ERC721 或 ERC1155, 今天我们就来学习一下 ERC721 的开发,说不定过两周 un.Block 就有自己的 NFT 了 🤔 NFT 的组成首先,在 ERC721 的合约中,每个 NFT 都有以下内容 name: 代币名字symbol: 代币符号tokenID: 代币编号URI: NFT元数据其中,元数据是 NFT 最重要的部分,它直接决定了 NFT 里面存放的内容。对于一些图片类的 NFT ,元数据通常都会存放图片的链接字符串,这个链接可能是中心化网站的链接(就像我们日常用的图床链接一样),或者是 ipfs 链接。 实际上,元数据可以存放的不只有字符串,以下是在 EIP-721 中给出的元数据示例:  关于 NFT 元数据的存储问题,在之前的周报 #12 #13 已经解释过了,大家有兴趣可以自行阅读。 漫游 ERC721EIP-721 给了关于 ERC721 的 3 个接口,分别是: IERC721: 核心 ERC721IERC721Metadata: ERC721 元数据IERC721Enumerable: 关于 ERC721 的供应量、序号之类的数字接口其中,IERC721 是唯一必须实现的接口,但这个接口过于简单,几乎没有项目会只实现一个 IERC721 就发布。 因此,我们将和大家分享多一些关于 ERC721 实用接口。 除了上述的 3 个接口之外,还有以下功能可以让 ERC721 锦上添花: ERC721Pausable: 暂停 ERC721 代币交易ERC721Burnable: 摧毁代币!AccessControl: 合约权限管理OpenZepplin 给出了一个功能较为完善的 ERC721 合约范例 —— ERC721PresetMinterPauserAutoId 这个范例能在 ERC721 的基础上实现以下功能: 允许用户摧毁掉自己的代币一个铸造者 (minter) 角色来负责铸造代币一个交易管理员角色 (pauser),有权暂停代币转账自动生成代币编号(tokenID) 和 元数据 (URI)ERC721: 元数据与铸币ERC721 在某些功能,如查询余额、授权、转账,与 ERC20 如出一辙(我们在 #9 跟大家介绍过 ERC20),值得深入了解的就是 ERC721 的元数据与铸币过程 1⃣️ 元数据以 mapping 的形式存储 // Optional mapping for token URIs mapping (uint256 => string) private _tokenURIs;2⃣️ 通过 _setTokenURI 函数,我们可以设置 URI,这里需要传入 tokenID 和 URI元数据 function _setTokenURI(uint256 tokenId, string memory _tokenURI) internal virtual { require(_exists(tokenId), "ERC721Metadata: URI set of nonexistent token"); _tokenURIs[tokenId] = _tokenURI; }3⃣️ ERC721 的 _mint 函数和 ERC20 很相似,本质就是将代币分发给用户,由于 tokenID 代表了 NFT 代币,因此调用 mint 函数的时候只需要指定用户和 tokenID 即可 function _mint(address to, uint256 tokenId) internal virtual { require(to != address(0), "ERC721: mint to the zero address"); require(!_exists(tokenId), "ERC721: token already minted"); _beforeTokenTransfer(address(0), to, tokenId); _holderTokens[to].add(tokenId); _tokenOwners.set(tokenId, to); emit Transfer(address(0), to, tokenId); }值得一提的是,OpenZepplin 并不推荐我们直接使用 _mint,而是推荐使用 _safeMint 来铸造代币 _safeMint 会在铸造前进行检查,要求如下: tokenID 需要不存在,可以理解为这个 tokenID 对应的 NFT 还没有被铸造收款地址需要有接受 ERC721 代币的能力,这个检查主要是针对为了合约接收代币📔 相关阅读:How to create and deploy an ERC-721 (NFT)ERC-721 NON-FUNGIBLE TOKEN STANDARD📘 附加题 Zapper,NFT 元数据存储,又一个安全事故 Zapper Product Updates 2:Wallet Bundles, Zapper Fees, NFT Season 2 Alpha LeakCryptoPunks 等主流 NFT 项目的元数据都存在哪里权利的游戏 —— DAO Maker 被黑分析🎺 成员招募目前 un.Block 已经有 5 名成员,分别生活在中国大陆、纽约、芬兰、爱尔兰,下一位会在哪里呢? 由于 un.Block 即将开展海外板块,我们需要再加一位设计师协助设计海外网站和 NFT 数字艺术品 🤔 我们的一些要求和期待: 对区块链感兴趣同时有一定的了解充满活力,有自驱力,能够适应远程团队工作有良好的网络条件,能够访问 Google有设计经验与独特的创作灵感有不错的审美品味感兴趣的朋友可以邮件至 [email protected] ,在邮件中,请简单地介绍您自己(请务必标明您所在的时区),并附带上您一周能工作的时长、此前的作品集以及您的预期回报。 un.Block 虽然处于早期阶段,但团队将竭力为您提供顶尖的全球化网络服务、行业领先的设计资源支持、喝不完的蜜雪冰城等一系列资源来支持您进行创作。 当然,还有大家都喜欢的 Token 以及 NFT 数字艺术品 🥳 💡 另外,还有一个小小的测试题:请在 OpenSea 上寻找您认为最好看的 5 个NFT艺术品。NFT 艺术品请以图片附件的形式插入邮件中。 我们期待着您的加入! 🔔 订阅 un.Block Weekly 🔔 🚏Find us💻 Website: unblock256.com ✈️ Telegram: un.Block Weekly 🕊️ Twitter: @unBlock256 📧 Email:[[email protected]](mailto:[email protected]) 视觉设计:Jenny 特别鸣谢: Newlearnerの自留地Android Weekly Update本文非商业目的转载授权遵循 CC BY-NC 4.0 协议 版权所有 ©️un.Block 2021 |
【本文地址】
| 今日新闻 |
| 推荐新闻 |
| 专题文章 |