Solana上最大NFT市場Magic Eden存在何種安全隱患？

原文作者：Andrew Hayward

原文編譯：RR

轉自： 《Magic Eden上的NFT正面臨風險？ 》by 老雅痞

簡述

Solana NFT市場的領頭羊Magic Eden最近因其平台變化和基於託管的交易模式而面臨越來越多的批評。

Magic Eden在對Decrypt的回應中為其API變更進行了辯護，並表示它計劃在未來切換到非託管系統。

在Solana NFT領域，沒有比Magic Eden更大的玩家了。該市場於去年秋天啟動，佔據著Solana 90%以上的交易量。在6月份的最新一輪風投融資中，這一優勢已轉化為了16億美元的估值。

但隨著Magic Eden的崛起，Solana NFT社區的成員——包括建設者和收藏者——越來越多地對該平台在發展過程中變得過於“集中化”表示擔憂。他們指出，最近的變化限制了來自第三方聚合器和工具的訪問，以及Magic Eden管理其用戶NFT託管的方式——這可能會讓用戶的資產容易受到攻擊。

Solana NFT工具製造商Zion Labs的化名創始人Marty告訴Decrypt：“人們應該意識到，黑客可以獲得Magic Eden的密鑰，並'rug'所有NFT。”“如果它是去中心化的，如果他們的代碼是開源的，這就不會發生。”

在給Decrypt的回應中，Magic Eden並沒有明確指出其基於託管的交易模式存在的風險，但表示，它認為其替代方案目前對用戶來說不太安全。

託管還是不託管？

關於Magic Eden將用戶列出的NFT資產存入託管錢包的政策討論並不新鮮，但這種爭論正在逐漸升溫。 Magic Eden託管所有列出的資產，而不是讓它們保留在用戶自己的錢包中，用戶的NFT通過平台智能合約被保存在一個託管錢包裡。

這種做法在早期Solana NFT平台很常見，但OpenSea和Hyperspace等最近進入Solana生態系統的公司並沒有採取這種方法。當你在這些平台上出售Solana NFT時，它仍然在你的錢包裡。

上週三，OpenSea在推特上發文反對“Solana平台託管NFT”，雖然沒有提到Magic Eden的名字，但其目標顯而易見。 OpenSea當時在推特上寫道:“我們相信，託管你的NFT的市場限制了選擇和效用，並危及了安全。”這兩個平台之前就在這一點上發生過爭執，Magic Eden最近用一個鏈接反駁了OpenSea，說OpenSea因UI漏洞導致用戶不知情地出售Ethereum NFT而被起訴。

Metaplex針對Solana的Auction House協議能夠在不需要平台託管資產的情況下實現NFT交易。一位不願透露姓名的Metaplex消息人士證實，Magic Eden的平台合同是基於Auction House的早期版本，而這是一個無許可的點對點交易系統。

然而，Magic Eden對該合約代碼以及基於Metaplex的Candy Machine鑄造工具的啟動合約進行了實質性的更改。 Magic Eden還將它們與社區的其他成員隔離開來。該消息人士表示:“它們是Metaplex提供的開源技術的封閉源代碼和許可衍生產品。”

這種做法為NFT交易者增加了潛在的風險。社區不能審計閉源軟件並從漏洞獎勵計劃中受益。甚至連Metaplex都不知道Magic Eden的平台合約代碼中有什麼內容。

如果Magic Eden的託管錢包被盜，會發生什麼?或者，如果Magic Eden突然倒閉，就像近幾個月其他一些加密貨幣公司在最近的市場崩盤中那樣，會發生什麼?Metaplex消息人士表示，截至上週末，該“中心化”託管錢包持有約18萬個NFT。

在回答Decrypt的問題時，Magic Eden聯合創始人兼首席技術官Sidney Zhang表示，該平台計劃在某個時候向無託管模式過渡，但在他的團隊看來，目前的解決方案還不夠安全。

他寫道:“我們正在積極探索併計劃轉向無託管模式，但我們認為目前其他平台使用的實現無託管模式的智能合約是不安全的。”“這種轉變會帶來許多安全問題，我們希望謹慎行事，以確保我們的用戶不會意外地丟失他們的資產。”

Zhang指出了OpenSea今年早些時候出現的上述問題，其中一些用戶的以太坊NFT被以遠低於市場的價格出售。 OpenSea將其UI與以太坊區塊鏈之間的斷開歸咎於“不活躍”的報價，並最終向用戶償還了180萬美元的ETH。

他補充說:“我們需要對智能合約進行相當複雜的修改，以防止出現這些情況。”“我們正在積極探索如何以最好的方式解決這些問題。”

最近的調整

除了對Magic Eden託管模式的持續關注外，該平台最近還面臨著對其平台運作方式的變化以及第三方應用程序和協議如何在其之上或周圍構建的越來越多的審查。

上週，推特用戶“Pland”在推特上發布了一條被廣泛傳播帖子，他寫道，由於最近的智能合約變更，Magic Eden“不再是一個無許可的dapp”。今年6月，類似的傳言已經在Twitter上流傳，但最新的帖子獲得了更多關注。

據與Decrypt交談的開發人員稱，合約變更使得Magic Eden必須簽署在其平台上發生的每一筆交易，而以前並非如此。其結果是，一些匯總來自多個市場列表的第三方應用程序以及可用於購買特定NFT的所謂“狙擊機器人”工具遭到了破壞。

Magic Eden向Decrypt承認了變更，解釋說交易現在需要兩個簽名：一個來自最終用戶，另一個來自Magic Eden提供的API密鑰。 API密鑰用於驗證希望訪問應用程序或服務的開發人員和第三方程序。 OpenSea等以以太坊為中心的市場也有一個API系統。

Magic Eden聯合創始人兼首席工程官Zhuojie Zhou 對Decrypt表示:“這一變化的推出是為了讓我們能夠保持核心網站的可靠性，並減少會危及我們用戶的列表和交易的bot行為。”“我們非常歡迎生態系統參與我們的API計劃。”

來自自動機器人程序的大量活動已經放緩，它們過去甚至完全摧毀了更廣泛的Solana網絡。 Solana實驗室最近進行了一些改變，以試圖提高網絡的穩定性。

Zhou表示，Magic Eden迄今已向開發者發放了300多個API密鑰，其中包括Tensor和NFTSoloist等聚合器，以及Exodus和Slope等錢包應用開發商。他還指出，廣受歡迎的Solana錢包Phantom的開發商要求Magic Eden擁有一個API來驗證交易是否來自其服務器。

Zhou補充道，“我們對支持正規的開發者生態系統，以實現安全可靠的市場深信不疑。”“並對根據合作夥伴開發者的需求開發API程序持開放態度。”

“反競爭舉措”

然而，Solana領域的一些建設者認為這種轉變是對去中心化原則的拒絕，也是為了阻礙NFT領域潛在競爭對手開發商而做出的決定。

NFT市場聚合商Hyperspace的一位代表告訴Decrypt：“得知他們這麼做，我們很驚訝，因為這完全是中心化的，對終端用戶沒有任何合理的好處。”“事實上，這對用戶有害，因為它增加了用戶對他們服務器的依賴，從而導致了交易失敗率的增加。”

這位不願透露姓名的代表表示，Magic Eden在變更之前聯繫了Hyperspace，“並威脅說，如果我們不改變我們的平台，以充分造福/服務他們，就會讓我們關門。”據稱，Magic Eden想讓Hyperspace“獨家向Magic Eden提供列表信息，並且只通過他們的API進行操作。”

Magic Eden的一名代表告訴Decrypt，“我們堅決否認在這些討論中威脅了他們。”“我們鼓勵我們的合作夥伴盡可能深入地與Magic Eden整合，以便提供盡可能全面的技術和運營支持。不幸的是，Hyperspace對這種合作關係不感興趣，此後一直處於對立狀態。”

Hyperspace表示，它發現了Magic Eden API的一個變通方案，並繼續提供聚合列表，但其他聚合器(如CoralCube)顯然因此失去了功能。 Hyperspace的代表稱Magic Eden“從那以後一直在努力嘗試並積極研究如何阻止我們。”

Solana領域的一些開發者告訴Decrypt，他們認為Magic Eden的這一舉動是為了將近幾個月吸引眼球的NFT聚合器排除在外。這最終讓Magic Eden獲得了誰可以利用其列表並受益於其流動性的控制權。

Hyperspace的代表說:“我們一直在公開反對這種嚴格意義上的反競爭行為，這違反了開放網絡的原則。”“我們認為，我們有責任支持Web3領域的去中心化和互操作性，整個Solana生態系統和Solana基金會應該全力阻止這種情況進一步發展。”

爭論不休

此外，Magic Eden因其實施的新功能似乎受到了外部Solana應用程序的強烈啟發而受到了抨擊。上週，Magic Eden List功能的發布——該功能允許項目在NFT投放前創建用戶的允許列表——因為與Blocksmith Labs的Mercury工具非常相似而受到了抵制。

NFT收藏者Topo Gigio在談到Magic Eden的新增功能時表示:“這似乎是一種旨在將任何能夠做得更好的人拒之門外的直接嘗試。”同時，Zion Labs的Marty聲稱，Magic Eden正在“將風險投資作為武器”，它正在迅速擴張成為一個一體化的Solana NFT資源。

Magic Eden的Zhou回應稱，該初創公司是一家“用戶至上的公司”，它主要根據用戶的要求來添加功能。他聲稱平台上的擴展功能是為收藏者服務的，並拒絕了關於中心化的辯論。

Zhou說：“這次對話不是關於中心化和去中心化，從來都不是。”“自我們成立以來，合作工具一直存在於Magic Eden不斷發展的市場經驗之上，我們不打算改變這種方式。 ”

對於Web3領域的一些參與者來說，圍繞Magic Eden的整體對話在很大程度上是關於中心化與去中心化——包括該領域的主要參與者應該如何處理資產託管、開源代碼和區塊鏈資產和協議的可組合性等問題。

Magic Eden繼續使用託管和以API為中心的變化決定並沒有讓所有人滿意。但Magic Eden仍然是Solana收藏者交易的主要目的地。

對Magic Eden的批評越來越多，但許多NFT項目是否會選擇在其他地方發布(正如最近在OpenSea上的一些項目一樣)，以及著名的收藏者是否會公開表明立場並退出該平台，都還有待觀察。

Topo Gigio就是其中之一。這位收藏者在推特上說，他將“fall on my sword”並放棄流動性，此外還聲稱他將不再使用這個市場，並指出了Magic Eden的託管政策和合約的變化。在給Decrypt的一封郵件中，他還提到了該公司圍繞具有爭議的NFT空投“DegenTown”上的“責任推卸”。

他告訴Decrypt，“我所有的流動性都在Magic Eden。我很樂意把我的高價值資產轉移到其他地方。”