Solana上最大NFT市场Magic Eden存在何种安全隐患?
原文作者:Andrew Hayward
原文编译:RR
转自:
简述
Solana NFT市场的领头羊Magic Eden最近因其平台变化和基于托管的交易模式而面临越来越多的批评。
Magic Eden在对Decrypt的回应中为其API变更进行了辩护,并表示它计划在未来切换到非托管系统。
在Solana NFT领域,没有比Magic Eden更大的玩家了。该市场于去年秋天启动,占据着Solana 90%以上的交易量。在6月份的最新一轮风投融资中,这一优势已转化为了16亿美元的估值。
但随着Magic Eden的崛起,Solana NFT社区的成员——包括建设者和收藏者——越来越多地对该平台在发展过程中变得过于“集中化”表示担忧。他们指出,最近的变化限制了来自第三方聚合器和工具的访问,以及Magic Eden管理其用户NFT托管的方式——这可能会让用户的资产容易受到攻击。
Solana NFT工具制造商Zion Labs的化名创始人Marty告诉Decrypt:“人们应该意识到,黑客可以获得Magic Eden的密钥,并‘rug’所有NFT。”“如果它是去中心化的,如果他们的代码是开源的,这就不会发生。”
在给Decrypt的回应中,Magic Eden并没有明确指出其基于托管的交易模式存在的风险,但表示,它认为其替代方案目前对用户来说不太安全。
托管还是不托管?
关于Magic Eden将用户列出的NFT资产存入托管钱包的政策讨论并不新鲜,但这种争论正在逐渐升温。Magic Eden托管所有列出的资产,而不是让它们保留在用户自己的钱包中,用户的NFT通过平台智能合约被保存在一个托管钱包里。
这种做法在早期Solana NFT平台很常见,但OpenSea和Hyperspace等最近进入Solana生态系统的公司并没有采取这种方法。当你在这些平台上出售Solana NFT时,它仍然在你的钱包里。
上周三,OpenSea在推特上发文反对“Solana平台托管NFT”,虽然没有提到Magic Eden的名字,但其目标显而易见。OpenSea当时在推特上写道:“我们相信,托管你的NFT的市场限制了选择和效用,并危及了安全。”这两个平台之前就在这一点上发生过争执,Magic Eden最近用一个链接反驳了OpenSea,说OpenSea因UI漏洞导致用户不知情地出售Ethereum NFT而被起诉。
Metaplex针对Solana的Auction House协议能够在不需要平台托管资产的情况下实现NFT交易。一位不愿透露姓名的Metaplex消息人士证实,Magic Eden的平台合同是基于Auction House的早期版本,而这是一个无许可的点对点交易系统。
然而,Magic Eden对该合约代码以及基于Metaplex的Candy Machine铸造工具的启动合约进行了实质性的更改。Magic Eden还将它们与社区的其他成员隔离开来。该消息人士表示:“它们是Metaplex提供的开源技术的封闭源代码和许可衍生产品。”
这种做法为NFT交易者增加了潜在的风险。社区不能审计闭源软件并从漏洞奖励计划中受益。甚至连Metaplex都不知道Magic Eden的平台合约代码中有什么内容。
如果Magic Eden的托管钱包被盗,会发生什么?或者,如果Magic Eden突然倒闭,就像近几个月其他一些加密货币公司在最近的市场崩盘中那样,会发生什么?Metaplex消息人士表示,截至上周末,该“中心化”托管钱包持有约18万个NFT。
在回答Decrypt的问题时,Magic Eden联合创始人兼首席技术官Sidney Zhang表示,该平台计划在某个时候向无托管模式过渡,但在他的团队看来,目前的解决方案还不够安全。
他写道:“我们正在积极探索并计划转向无托管模式,但我们认为目前其他平台使用的实现无托管模式的智能合约是不安全的。”“这种转变会带来许多安全问题,我们希望谨慎行事,以确保我们的用户不会意外地丢失他们的资产。”
Zhang指出了OpenSea今年早些时候出现的上述问题,其中一些用户的以太坊NFT被以远低于市场的价格出售。OpenSea将其UI与以太坊区块链之间的断开归咎于“不活跃”的报价,并最终向用户偿还了180万美元的ETH。
他补充说:“我们需要对智能合约进行相当复杂的修改,以防止出现这些情况。”“我们正在积极探索如何以最好的方式解决这些问题。”
最近的调整
除了对Magic Eden托管模式的持续关注外,该平台最近还面临着对其平台运作方式的变化以及第三方应用程序和协议如何在其之上或周围构建的越来越多的审查。
上周,推特用户“Pland”在推特上发布了一条被广泛传播帖子,他写道,由于最近的智能合约变更,Magic Eden“不再是一个无许可的dapp”。今年6月,类似的传言已经在Twitter上流传,但最新的帖子获得了更多关注。
据与Decrypt交谈的开发人员称,合约变更使得Magic Eden必须签署在其平台上发生的每一笔交易,而以前并非如此。其结果是,一些汇总来自多个市场列表的第三方应用程序以及可用于购买特定NFT的所谓“狙击机器人”工具遭到了破坏。
Magic Eden向Decrypt承认了变更,解释说交易现在需要两个签名:一个来自最终用户,另一个来自Magic Eden提供的API密钥。API密钥用于验证希望访问应用程序或服务的开发人员和第三方程序。OpenSea等以以太坊为中心的市场也有一个API系统。
Magic Eden联合创始人兼首席工程官Zhuojie Zhou 对Decrypt表示:“这一变化的推出是为了让我们能够保持核心网站的可靠性,并减少会危及我们用户的列表和交易的bot行为。”“我们非常欢迎生态系统参与我们的API计划。”
来自自动机器人程序的大量活动已经放缓,它们过去甚至完全摧毁了更广泛的Solana网络。Solana实验室最近进行了一些改变,以试图提高网络的稳定性。
Zhou表示,Magic Eden迄今已向开发者发放了300多个API密钥,其中包括Tensor和NFTSoloist等聚合器,以及Exodus和Slope等钱包应用开发商。他还指出,广受欢迎的Solana钱包Phantom的开发商要求Magic Eden拥有一个API来验证交易是否来自其服务器。
Zhou补充道,“我们对支持正规的开发者生态系统,以实现安全可靠的市场深信不疑。”“并对根据合作伙伴开发者的需求开发API程序持开放态度。”
“反竞争举措”
然而,Solana领域的一些建设者认为这种转变是对去中心化原则的拒绝,也是为了阻碍NFT领域潜在竞争对手开发商而做出的决定。
NFT市场聚合商Hyperspace的一位代表告诉Decrypt:“得知他们这么做,我们很惊讶,因为这完全是中心化的,对终端用户没有任何合理的好处。”“事实上,这对用户有害,因为它增加了用户对他们服务器的依赖,从而导致了交易失败率的增加。”
这位不愿透露姓名的代表表示,Magic Eden在变更之前联系了Hyperspace,“并威胁说,如果我们不改变我们的平台,以充分造福/服务他们,就会让我们关门。”据称,Magic Eden想让Hyperspace“独家向Magic Eden提供列表信息,并且只通过他们的API进行操作。”
Magic Eden的一名代表告诉Decrypt,“我们坚决否认在这些讨论中威胁了他们。”“我们鼓励我们的合作伙伴尽可能深入地与Magic Eden整合,以便提供尽可能全面的技术和运营支持。不幸的是,Hyperspace对这种合作关系不感兴趣,此后一直处于对立状态。”
Hyperspace表示,它发现了Magic Eden API的一个变通方案,并继续提供聚合列表,但其他聚合器(如CoralCube)显然因此失去了功能。Hyperspace的代表称Magic Eden“从那以后一直在努力尝试并积极研究如何阻止我们。”
Solana领域的一些开发者告诉Decrypt,他们认为Magic Eden的这一举动是为了将近几个月吸引眼球的NFT聚合器排除在外。这最终让Magic Eden获得了谁可以利用其列表并受益于其流动性的控制权。
Hyperspace的代表说:“我们一直在公开反对这种严格意义上的反竞争行为,这违反了开放网络的原则。”“我们认为,我们有责任支持Web3领域的去中心化和互操作性,整个Solana生态系统和Solana基金会应该全力阻止这种情况进一步发展。”
争论不休
此外,Magic Eden因其实施的新功能似乎受到了外部Solana应用程序的强烈启发而受到了抨击。上周,Magic Eden List功能的发布——该功能允许项目在NFT投放前创建用户的允许列表——因为与Blocksmith Labs的Mercury工具非常相似而受到了抵制。
NFT收藏者Topo Gigio在谈到Magic Eden的新增功能时表示:“这似乎是一种旨在将任何能够做得更好的人拒之门外的直接尝试。”同时,Zion Labs的Marty声称,Magic Eden正在“将风险投资作为武器”,它正在迅速扩张成为一个一体化的Solana NFT资源。
Magic Eden的Zhou回应称,该初创公司是一家“用户至上的公司”,它主要根据用户的要求来添加功能。他声称平台上的扩展功能是为收藏者服务的,并拒绝了关于中心化的辩论。
Zhou说:“这次对话不是关于中心化和去中心化,从来都不是。”“自我们成立以来,合作工具一直存在于Magic Eden不断发展的市场经验之上,我们不打算改变这种方式。”
对于Web3领域的一些参与者来说,围绕Magic Eden的整体对话在很大程度上是关于中心化与去中心化——包括该领域的主要参与者应该如何处理资产托管、开源代码和区块链资产和协议的可组合性等问题。
Magic Eden继续使用托管和以API为中心的变化决定并没有让所有人满意。但Magic Eden仍然是Solana收藏者交易的主要目的地。
对Magic Eden的批评越来越多,但许多NFT项目是否会选择在其他地方发布(正如最近在OpenSea上的一些项目一样),以及著名的收藏者是否会公开表明立场并退出该平台,都还有待观察。
Topo Gigio就是其中之一。这位收藏者在推特上说,他将“fall on my sword”并放弃流动性,此外还声称他将不再使用这个市场,并指出了Magic Eden的托管政策和合约的变化。在给Decrypt的一封邮件中,他还提到了该公司围绕具有争议的NFT空投“DegenTown”上的“责任推卸”。
他告诉Decrypt,“我所有的流动性都在Magic Eden。我很乐意把我的高价值资产转移到其他地方。”