2022年7月1日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,OPtimism鏈的Quixotic項目遭受黑客攻擊,黑客獲利847個BNB。成都鏈安安全團隊對事件進行了分析,結果如下。
事件相關信息
據悉,Quixotic是一個可以使用ERC20代幣和NFT進行買賣的平臺,本次攻擊事件發生后,平臺目前所有市場活動都已暫停。
Optimism橋接存儲TVL突破55萬枚ETH,約合10億美元:金色財經報道,據Dune Analytics數據顯示,以太坊二層擴容解決方案Optimism跨鏈橋接存儲總價值已突破55萬枚 ETH,本文撰寫時達到550,193枚,按照當前價格計算約合10億美元,此外目前Optimism參與橋接交易的用戶數量達到326,221個。[2023/6/21 21:51:43]
?攻擊者地址
攻擊者:
0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5
攻擊者合約:
0xbe81eabdbd437cba43e4c1c330c63022772c2520
超45萬地址參與Optimism Quests活動,累計為Optimism引入超38萬新地址:1月18日消息,Optimism Quests第一季活動已于1月17日結束,據Dune Analytics數據,共有456,722個地址參與Optimism Quests活動,NFT總鑄造數量為341.9萬枚,平均每個地址鑄造7.49枚NFT。此外,此次奧德賽活動累計為Optimism引入超38萬新地址。[2023/1/18 11:18:09]
?攻擊交易
0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df
以太坊二層擴容解決方案Optimism完成EVM等效性升級:11月12日消息,以太坊二層擴容解決方案Optimism宣布完成EVM(以太坊虛擬機)等效性升級。EVM等效性會與EVM規范完全一致而不是僅僅兼容,可以簡化開發者的開發過程以及降低交易費用。
Optimism已于11月11日將OVM2.0更改合并至其主要分支中,其他OVM2.0版本重大改進包括:源代碼未經Etherscan驗證的合約將連同其存儲一起被清除,源代碼已被驗證的合約將用標準的Solidity編譯器重新編譯,EOA將不再是合約錢包等。[2021/11/12 6:48:00]
0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4
動態 | NEM基金會主席介紹新代幣CAT的兩種空投方式,稱更傾向optout:NEM基金會主席Alex Tinsman發推介紹了NEM新區塊鏈Catapult所產生的新代幣CAT(暫定)的兩種空投方式——optin和optout。Tinsman表示他更傾向于optout,因為XEM持有者將CAT視為其財產,optout意味著未經他們的同意第三方不能持有任何人的代幣。(Coinpost)[2019/11/5]
?被攻擊合約:
0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6
#攻擊過程
1.攻擊者先創建NFT攻擊合約,如圖所示。
2.因為用戶將ERC20代幣過度授權給了ExchangeV4,并且ExchangeV4合約存在漏洞。導致攻擊者利用ExchangeV4合約的fillSellOrder函數進行NFT訂單創建通過向用戶出售攻擊合約中的NFT來轉移用戶向ExchangeV4合約授權的代幣。
3.攻擊完成后,攻擊者將所盜資產轉移至Tornado.Cash。
漏洞分析
本次攻擊主要利用了在ExchangeV4合約中創建的NFT訂單地址可以被指定,并且在交易中只驗證了賣方簽名就進行轉賬,導致用戶在有向ExchangeV4進行ERC20代幣授權的情況下,攻擊者可以創建自己的NFT單方面進行交易,將虛假的NFT轉移給用戶換出用戶向ExchangeV4合約授權的代幣。
在fillSellOrder函數中,攻擊者可以指定出售的NFT地址,并且在驗證中只驗證了攻擊者的簽名,而未驗證買方的簽名。那么攻擊者可以通過驗證,并在調用_fillSellOrder函數時,將攻擊合約的NFT轉移給買方,并執行_sendERC20PaymentsWithRoyalties函數轉移買方向合約授權的ERC20代幣
資金追蹤
截止發文時,攻擊者獲利約847個BNB,當前攻擊者已將所盜資金向Tornado.Cash轉移。
總結
針對本次事件,成都鏈安安全團隊建議:
1.在實現簽名交易的功能時,需要驗證買賣雙方的簽名。
2.用戶需要避免過度授權保證財產安全。
3.項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,以規避安全風險。
標準普爾500指數于6月13日正式進入熊市,成為該指數過去140年來經歷的第20個熊市。加密市場方面,由于美聯儲鷹派加息以及多個加密公司暴雷事件在第二季度打擊了市場情緒,比特幣暴跌了60%以上.
1900/1/1 0:00:00盡管仍處于早期的發展階段,但元宇宙帶來的發展聲浪與熱潮絲毫不減。 從概念興起到討論熱潮 元宇宙在1992年科幻小說《雪崩》中被首次提出.
1900/1/1 0:00:00在2020年的DeFi之夏和2021年的牛市,有一個巨鯨地址0xb1曾經在DeFi業內叱咤風云,曾經每天收獲20萬至40萬美元的挖礦收益,金色財經此前報道過這個地址背后的匿名團隊.
1900/1/1 0:00:007:00-12:00關鍵詞:Bitfarms、Ignite、OpenSea、ENS協議1.礦企Bitfarms6月產出420枚BTC.
1900/1/1 0:00:00作者:陳玄,Ethereum中文社區首席技術顧問最近元宇宙的熱度似乎下來了,但我們回頭看,這個詞從一開始闖入我們的生活,到它被賦予各種解釋、加上各種光環——這個詞似乎變得有些虛渺不定.
1900/1/1 0:00:00今年5月17日,VitalikButerin在推特上發表了一些在其價值體系中尚未完全解決的矛盾的看法.
1900/1/1 0:00:00