RAN:源码解读：你买的NFT到底是什么？_CNFT

内容概要

如果你是WEB3加密界的新手，面对众多概念无从入手，那么欢迎你，来对地方了！！本文围绕标准ERC721协议，描述了Mint、safeMint、transfer等是如何实现资产管理的，并通过解读代码来了解它的安全性设计和以太坊数据上链成本构成。目录大纲

1.所谓NFT资产是什么？2.Mint和safeMint的差别3.交易时会发生什么？有哪些细节设计4.NFT哪些数据也存储在链上？5.以太坊上存储有多贵？面向对象

Web3新手，有无技术背景均可：研发——可无障碍阅读，理解精美的合约设计非研发——可能读不懂列举的代码，但能体会标准协议的设计思路1.所谓NFT资产是什么？

在opensea上，可看到每个NFT都有个唯一的编号。比如azuki系列中第4132号，在页面的Details栏目可以看到其合约地址，ID编号，部署所在公链等信息，而Properties栏目则是其设定的具备各种属性，对应的稀有度。

1.1资产在标准ERC721协议里是什么？

而咱们回顾到源代码，会发现程序记录了全局性的两个字典类型的变量，通过_owners中用数字映射地址的方式记录每一个ID当前对应的所有者，同时也附带用_balances记录了当前所有者总计持有的NFT数量

慢雾：针对传言火币信息泄漏事件不涉及用户账户与资金安全 请保持客观冷静对待:据官方消息，慢雾注意到近日有白帽子公开了此前一个火币已经处理完毕的过往漏洞信息。经慢雾与火币官方确认，火币本着负责任披露信息的策略，对本次事件做以下说明：本次事件是小范围内（4000人）的用户联络信息泄露，信息种类不涉及敏感信息，不涉及用户账户与资金安全。事件发生于2021年6月22日日本站测试环境S3桶相关人员不规范操作导致，相关用户信息于2022年10月8日已经完全隔离，日本站与火币全球站无关。本次事件由白帽团队发现后，火币安全团队2023年6月21日（10天前）已第一时间进行处理，立即关闭相关文件访问权限，当前漏洞已修复，所有相关用户信息已经删除。感谢白帽团队对于火币安全做出的贡献。最后提醒请大家冷静对待，切勿传谣。[2023/7/1 22:12:01]

并且由于ERC721创新性的赋予了一个ID对应地址的变量_owners，从而与ERC20仅_balances进行地址与余额的管理，区分出了FT与NFT的差别。2.Mint和safeMint的差别

2.1Mint是如何进行的

慢雾：警惕针对 Blur NFT 市场的批量挂单签名“零元购”钓鱼风险:金色财经报道，近期，慢雾生态安全合作伙伴 Scam Sniffer 演示了一个针对 Blur NFT 市场批量挂单签名的“零元购”钓鱼攻击测试，通过一个如图这样的“Root 签名”即可以极低成本（特指“零元购”）钓走目标用户在 Blur 平台授权的所有 NFT，Blur 平台的这个“Root 签名”格式类似“盲签”，用户无法识别这种签名的影响。慢雾安全团队验证了该攻击的可行性及危害性。特此提醒 Blur 平台的所有用户警惕，当发现来非 Blur 官方域名(blur.io)的“Root 签名”，一定要拒绝，避免潜在的资产损失。[2023/3/7 12:46:39]

Mint意思为铸造，即每个NFT的创造过程，例如之前的爱死机NFT当奈飞的NFT忘记了web2的业务安全Mint获取到该NFT的资产证明。从源代码中可以看到，Mint主要是进行了安全判断：判断1：确保转入的不是0x00地址判断2：确保此交易所操作的NFTID是不存在的最终代码执行的操作是：操作1：将转入地址的_balances所持有总数加1操作2：将对应NFTID的所有者修改为转入的地址操作3：完成交易则发出emit事件，可以让链下监听到这次交易的数据

慢雾：2021年上半年共发生78起区块链安全事件，总损失金额超17亿美元:据慢雾区块链被黑事件档案库统计，2021年上半年，整个区块链生态共发生78起较为著名的安全事件，涉及DeFi安全50起、钱包安全2起，公链安全3起，交易所安全6起，其他安全相关17起，其中以太坊上27起，币安智能链(BSC)上22起，Polygon上2起，火币生态链(HECO)、波卡生态、EOS上各1起，总损失金额超17亿美元(按事件发生时币价计算)。

经慢雾AML对涉事资金追踪分析发现，约60%的资金被攻击者转入混币平台，约30%的资金被转入交易所。慢雾安全团队在此建议，用户应增强安全意识，提高警惕，选择经过安全审计的可靠项目参与；项目方应不断提升自身的安全系数，通过专业安全审计机构的审计后才上线，避免损失；各交易所应加大反监管力度，进一步打击利用加密资产交易的等违规行为。[2021/7/1 0:20:42]

中间有_beforeTokenTransfer和_afterTokenTransfer属于虚函数，作为标准，是让项目方可以再不修改标准协议的情况下增加一些特定的逻辑代码用的。2.2为何safeMint更安全

safeMint意为安全的铸造，从代码实现中可以看到他本身也是调用了MInt但是他额外增加了_checkOnERC721Received的判断，这点是属于ERC165的标准，相当于在完成转入操作后，则判断对方地址，是否是黑洞地址是防止转入对象为合约地址时候，其合约没有预设置好转出的函数，导致资产在内无法被转走，从而造成永久损失。

慢雾：PAID Network攻击者直接调用mint函数铸币:慢雾科技发文对于PAID Network遭攻击事件进行分析。文章中指出，在对未开源合约进行在反编译后发现合约的 mint 函数是存在鉴权的，而这个地址，正是攻击者地址(0x187...65be)。由于合约未开源，无法查看更具体的逻辑，只能基于现有的情况分析。慢雾科技分析可能是地址(0x187...65be)私钥被盗，或者是其他原因，导致攻击者直接调用 mint 函数进行任意铸币。

此前报道，PAID Network今天0点左右遭到攻击，增发将近6000万枚PAID代币，按照当时的价格约为1.6亿美元，黑客从中获利2000ETH。[2021/3/6 18:21:08]

2.3ERC165是如何防止资产转入黑洞的？

设计初衷可见：https://eips.ethereum.org/EIPS/eip-165是让合约接口标准化的提案，在编程语法中interface是接口的意思，在其中定义的函数可以不实现仅仅放上函数名字相关参数，在程序复杂的时候，相当于目录一般告诉别人我都有什么功能。但是接口的写法各有千秋，名字定义参数类型，甚至是否存在都有不同，所以此提案最终形成了ERC165标准，规范了接口的识别规则。

币安完成BUSD在Avalanche、Polygon网络的集成，并开放充提业务:9月19日消息，据官方公告，币安已完成BUSD在Avalanche、Polygon网络上的集成，并开发充提业务，并在这两个网络上开放BUSD的充值和提现业务。用户可以在以太坊、BNB Chain、Avalanche和Polygon网络上转移BUSD。[2022/9/19 7:05:40]

使用流程是：STEP1判断是否存在supportsInterface函数，并且其符合165标准STEP2通过supportsInterface函数，判断是否具有转出NFT的函数3.交易时会发生什么？有哪些细节？

标准协议设计有两种转移方式，transfer和transferFrom，作用于两种场景：transfer转移：由用户调用，将本消息发送的钱包所持有的NFTID转移到指定地址transferFrom从转移：用某机构调用，需要用户先授权某地址，让其有权可转移。类比一下：transfer就是现金交易，从自己口袋里拿钱支付transferFrom就是扫码扣款，由店家申请扣款，受制于用户是否开通小额代扣权限接下来咱们从代码来看看，其中可能有会意想不到的细节。3.1transfer是如何进行的

他会检测当前交易的from方是否是此NFTID的持有者，并且限制该NFT转入0x00地址。其次进行from转出地址和to转入地址的余额刷新，修改_balances全局变量并且重新设置_owners此NFTID的所有者地址修改为to。这里有个防护的细节会先执行_approve(address(0),tokenId);清空历史授权，如果没有这一步，则资产完成了转移，但是其NFTID的转移授权依旧在，细思极恐：

3.2transferFrom是如何进行的

这里的交易本质调用的是_safeTransfer所以他的核心逻辑是require部分，这的一大细节是：_msgSender()这是openzepplin的标准库Context.sol中的方法。其实就是获取当前交易的发送者地址，但这里使用了封装版本，而不是直接使用msg.sender是考虑到，可能存在一种交易类型“元交易”，即交易的付费gas方和交易发起方不相同的情况。所以一些处于中间环节的，类似library的合约需要考虑这种特殊情况。其余部分判断是确定是否有授权记录，易于理解，不作赘述

4.还有哪些数据可扩展存储在链上？

交易的环节也看完后，其实很多新同学也顿感奇怪，原来我买的NFT只有一个ID的归属地址指向了我，从而达成了唯一性。那就算如此，稀有度信息放在哪里？我的NFT图像本身在那里？这就是涉及到ERC721的元数据拓展IERC721Metadata.sol要放什么都可以，但是项目方往往在链上只存储最基础的ID+IPFS的地址。咱们可以通过之前Etherscan教程方法来看看一些项目数据有什么？Azuki上合约地址是：0xed5af388653567af2f388e6224dc7c4b3241c544通过ReadContract可以查阅到，其元数据只存放了ipfs上的指向地址而近期兴起的Metaverse项目元宇宙土地sandbox和****Decentraland，以及去年火热的****AxieInfinity，基本链上存储元数据也只是ID+网址。

像mirror那些是专门设计低费用可进行高存储，一个块常规都是30M起步，大约是以太坊的1000倍。5.以太坊上存储有多贵？

这里是本文稍难的地方。咱们从源码来分析链上存储的成本构成以及金额换算成本产生将有2个方面，按执行流程来看用户发起一笔交易，将要写链上数据作为参数传入，其大小是一笔成本交易执行合约代码，依据修改和使用，EVM计算消耗的gas成本。5.1交易发起的成本

咱们可以核对下以太坊黄皮书，里对交易数据大小所消耗gas有清晰的定义

可以看到交易所附带的参数的价格：每笔交易都有21000GAS需要支付为交易的每个非零字节数据或代码支付68GAS为交易的每个零字节数据或代码支付4GAS所以如果是再Mint的时候，登记上若干NFT属性信息，交易的data部分会将abc等字符转成2个十六进制表示，而每个字符为一个八位二进制，等于一个byte。所以可以约等于将data的长度除以2作为byte数。而1kb的数据，如果都是非0的有信息量的文本信息，则等于增加是68*1000=6.8W的gas消耗。按20gwei的gas价格和2000的eth兑换美元价格，可以估算出，每上链1kb数据在交易发起端就要：20*(21000+68000)*1e9/1e18*2000=3.5美金5.2合约存储的成本

由于交易发起后，还有智能合约上存储的逻辑，咱们从以太坊go源代码中，来分析具体的消费量，代码具体在函数内，太长了不全粘来：funcgasSStore(evm*EVM,contract*Contract,stack*Stack,mem*Memory,memorySizeuint64)(uint64,error)历史上GAS消耗的估算有经过若干迭代，如果是Petersburg或者Constantinople未激活的话，则不按下面逻辑进行计算gas消耗计算，依赖3个种数据的管理形式从零值地址到非零值，每个存储槽需消耗2Wgas从非零值地址到零值地址，每个存储槽需消耗5Kgas，但会有奖励1.5Wgas退回从非零到非零，每个存储槽需消耗200gas注意，上述每一个存储槽算32byte，1kb存储则是32个存储槽。Mint的过程是新增存储，所以如果新增1kb的数据存储在链上代价将是64Wgas，换算成金额则是：20*(640000)*1e9/1e18*2000=25美金真可谓寸土寸金！前文回顾

EIP-5058能否防止NFT项目方提桶跑路？当我们在看Etherscan的时候,到底在看什么?当奈飞的NFT忘记了web2的业务安全

标签：NFTMINRANANSCNFTgemini女朋友多大TransferChain

Gateio热门资讯