簡析 Blur、Element、Gem 等 NFT 交易平臺競爭優勢差異_ENT:Bluzelle

作者：dily_xz

看到那么多無腦吹Blur的服了，APT空投吹APT，Blur空投吹Blur

今天仔細研究了一下他們產品，寫個總結記錄一下，順便橫向對比一下其他交易市場，先上結論：

滿足極少用戶的產品，而且目前跨鏈交易的Gas費控制極差，不建議使用。

1）為了方便闡述我的想法，畫了一張圖方便解釋，順便也整理一下思路簡單來說，NFT交易用戶可以分三部分：NFT小白用戶、普通用戶、專業人士。

2）人數最多的的用戶，他們對錢包原理不是特別清楚，也沒有太高的安全意識，還按照Web2的習慣看待NFT產品所以針對這些用戶有好多產品，比如幣安的NFT交易所、TP，不安全，但是方便啊但是目前這些用戶是最多的，但是還沒有哪個平臺完全滿足這些人的需求，簡單、安全、方便

安全團隊：Rubic被攻擊事件簡析:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Rubic項目被攻擊，Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗，_params可以指定任意的參數，攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數，把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址，被盜資金近1100個以太坊，通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]

3）其實目前市場的核心力量在腰部用戶，也就是普通用戶他們已經可以熟練的使用錢包了，而且對各種釣魚方式也比較注意，各個Web3產品也如數家珍這個市場也是目前廝殺比較激烈的區域，包括龍頭Opensea、Element、X2Y2、Looks等平臺。

Beosin：sDAO項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin?EagleEye 安全風險監控、預警與阻斷平臺監測顯示，BNB鏈上的sDAO項目遭受漏洞攻擊，Beosin分析發現由于sDAO合約的業務邏輯錯誤導致，getReward函數是根據合約擁有的LP代幣和用戶添加的LP代幣作為參數來計算的，計算的獎勵與用戶添加LP代幣數量正相關，與合約擁有總LP代幣數量負相關，但合約提供了一個withdrawTeam的方法，可以將合約擁有的BNB以及指定代幣全部發送給合約指定地址，該函數任何人都可調用。而本次攻擊者向其中添加了LP代幣之后，調用withdrawTeam函數將LP代幣全部發送給了指定地址，并立刻又向合約轉了一個極小數量的LP代幣，導致攻擊者在隨后調用getReward獲取獎勵的時候，使用的合約擁有總LP代幣數量是一個極小的值，使得獎勵異常放大。最終攻擊者通過該漏洞獲得的獎勵兌換為13662枚BUSD離場。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶，將持續關注資金走向。[2022/11/21 7:53:09]

4）還有就是提到Blur，他是一些專業人士需要的平臺，追求原教旨主義、專業的交易平臺、注重交易成本之前這個領域一直是Gem和Genie的區域，現在Element也支持聚合交易，可以滿足跨市場掃貨的需求，Gas費用還便宜現在Blur是比這幾家還要極致，做的更加的專業化和細分

慢霧：Polkatrain 薅羊毛事故簡析:據慢霧區消息，波卡生態IDO平臺Polkatrain于今早發生事故，慢霧安全團隊第一時間介入分析，并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約，該合約有一個swap函數，并存在一個返傭機制，當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭，該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量，也未在返傭的時候判斷總返傭金是否用完了，導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型，防止意外情況發生。[2021/4/5 19:46:39]

5）但是越往上用戶是越少的，也就是說Blur的目標人群極少，會比Gem和Genie還少這是最大的問題，他的天花板太低了，甚至就是個地板的用戶量還有他的UI，因為他大量的使用了像素風格，像素風格喜歡的人很喜歡，不喜歡的人是真不習慣，大多數人知道像素風么

Harvest.Finance被黑事件簡析:10月26號，據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊，損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費；

2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT；

3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC，此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小；

4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中，充值的同時 Harvest 的 Vault 將鑄出 fUSDC，而鑄出的數量計算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC；

5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常；

6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC；

7. 隨后攻擊者開始重復此過程持續獲利；

其他攻擊流程與上訴分析過程類似。參考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源)，導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量，從而使攻擊者有利可圖。[2020/10/26]

6）還有就是他的設計理念，不太在乎普通人的感受，我雖然買了很多NFT但是自認算是普通交易者我沒有找到關于合集的信息，包括Twitter、官網等信息，更不用說基礎的數據分析了。這就把太多人擋在門外了。

7）我針對單個NFT分別測試了Element、Opensea、Blur的Gas費用Element：4.63Element：5.14Opensea：5.07Blur：10.5因為大部分都是聚合Opensea的，所以Opensea最便宜，但是Element自有更便宜。

8）大家經常使用的是聚合，Element因為是聚合了Opensea所以肯定會比Opensea高一點。但是，但是BlurGas居然高達10.5u，我當時就蒙了……最后才發現是他的業務邏輯太復雜了，Gas費用飆升，但是只是聚合交易而已你在做什么呢？當然除了單個的我還做了批量掃貨的聚合交易測試。

9）針對5個NFT批量測試了Element、Opensea、Blur的Gas費用Element：22.33Element：17.77Opensea：15.59Blur：56.38太貴了，雖然只是預估價格，我還專門買了NFT測試，結果也是是真貴，他的聚合合約邏輯太復雜了。

10）大家也在找各自的定位，但是Blur目前的定位非常不看好而且真正的專業交易者會直接調用OpenseaAPI不會經過他的合約再來一道，便宜、快、安全。

目前關注Opensea的求新求變，Element和X2Y2根據社區用戶的產品迭代。以上，供大家參考。

Tags：USDMENTENTBLUEBUSDengagement-tokenValentine DogeBluzelle

萊特幣價格