TER:金色前哨｜2000萬OP因何被盜 來看看鏈上細節_幣虎cointiger下載

2022年6月9日，做市商Wintermute透露，Optimism發送給其做市的2000萬個OP代幣被黑客盜取。丟失始末請看金色財經此前報道。

簡單概括就是

兩周前，OptimismFoundation聘請Wintermute為其在中心化交易所上市的OP代幣提供流動性。作為協議的一部分，Wintermute獲得了2000萬枚OP貸款。

這2000萬枚OP將被部署在Wintermute的Optimism錢包。當Wintermute將錢包地址發給Optimism團隊時，發送的是Wintermute在主網上部署了一段時間的GnosisSafe多簽錢包地址。這里Wintermute犯了一個嚴重錯誤，因為控制GnosisSafe多簽錢包并不能保證控制EVM兼容鏈同一地址。

金色財經挖礦數據播報 BTC今日全網算力下跌2.04%:金色財經報道，據蜘蛛礦池數據顯示：

BTC全網算力133.926 EH/s，挖礦難度19.93T，目前區塊高度687626，理論收益0.00000657/T/天。

ETH全網算力576.675 TH/s，挖礦難度7449.59T，目前區塊高度12636314，理論收益0.00272765/100MH/天。

BSV全網算力0.673EH/s，挖礦難度0.10T，目前區塊高度691705，理論收益0.00132858/T/天。

BCH全網算力1.821 EH/s，挖礦難度0.30T，目前區塊高度692219，理論收益0.00049433/T/天。[2021/6/15 23:37:04]

以太坊開發者KelvinFichter解釋Wintermute被攻擊原因

BiKi與金色財經聯合出品“交易公開課”第六期課程將于近期開課:BiKi與金色財經聯合出品交易公開課第六期課程于4月17日20：00線上開課，本期課程為《人人都能做好合約交易》，由張斌授課。本次課程講師張斌為BiKi交易學院首席金牌教學顧問，BiKi金牌經紀人，魔法資本合伙人，有4年數字貨幣交易經驗，目前管理多期數字貨幣量化基金。

BiKi永續合約現已開放BTC、ETH、EOS、XRP、LTC、BCH、BSV永續合約交易，更多精彩敬請期待。[2020/4/17]

用戶通常假設他們可以在以太坊上訪問的任何帳戶也可以在其他基于EVM的鏈上訪問。對于外部擁有的賬戶，這通常是正確的。這不一定適用于智能合約賬戶。可以使用完全不同的代碼在不同鏈上的相同地址創建合約，從而產生完全不同的所有者。

金色相對論丨林念龍：礦機公司發展AI是為了避免雞蛋放在一個籃子中:本期金色相對論在討論上，在談論排名靠前的礦機企業都在做AI芯片這一話題時，蜂窩聯合創始人林念龍認為：礦機公司不把雞蛋放一個籃子，避免“百度10多年主要收入只來自于搜索”一樣的尷尬局面。一般來講，AI公司的能力還在生活應用和機器學習上，都是軟件層面；礦機公司在硬件的技能和資金實力上，非常雄厚，是AI公司一般不敢去碰的領域。AI是“軟件”，礦機公司是“硬件”，軟硬結合，未來是互補合作的關系。[2018/6/27]

EVM地址分為EOA和CA。合約地址又有兩種方式獲得：

CREATE?new_address=hash(sender,nonce)?

金色財經現場報道 中國信息通信研究院云計算與大數據研究所所長：區塊鏈顛覆不了互聯網:金色財經現場報道，在2018區塊鏈技術及應用峰會上，中國信息通信研究院云計算與大數據研究所所長何寶宏認為區塊鏈是互聯網出現的20多年以來來，又一個叫“下一代互聯網”的，實際上區塊鏈是互聯網又一塊大點的補丁，區塊鏈顛覆不了互聯網，顛覆不了世界，區塊鏈只是互聯網的一個延續，何老師還稱：“如果你認為區塊鏈顛覆世界的話，說明你的世界太小了。”[2018/3/30]

CREATE2new_address=hash(0xFF,sender,salt,bytecode)

與CREATE2不同，通過CREATE創建的合約地址不是基于用于創建合約的代碼，而僅基于創建者地址的nonce。

看一下鏈上細節

1、13天前，Optimism團隊從0x25地址測試發送1個OP給Wintermute發送給Optimism團隊的地址0x4f

https://optimistic.etherscan.io/tokentxns?a=0x4f3a120e72c76c22ae802d129f599bfdbc31cb81&p=2

2、12天前，Optimism團隊分兩筆將1900萬枚和100萬枚OP發送給Wintermute。

直至此時，Wintermute還沒有意識到他們沒有這個地址的控制權。

3、WintermuteGnosisSafe多簽錢包創建于561天前，

https://etherscan.io/tx/0xd705178d68551a6a6f65ca74363264b32150857a26dd62c27f3f96b8ec69ca01

多簽合約地址為0x76e2cfc1f5fa8f6a5b3fc4c8f4788f0116861f9b。

從合約代碼可知是通過CREATE而不是CREATE2創建的多重簽名。

多簽錢包地址即為0x4f。

4、4天前，攻擊者將舊的Safefactory部署到Optimism。

并開始重復觸發create函數以在L2上創建多重簽名，進而控制了Optimism上的0x4f地址。

https://optimistic.etherscan.io/tx/0x00a3da68f0f6a69cb067f09c3f7e741a01636cbc27a84c603b468f65271d415b#internal

正如KelvinFichter所說，此事件不是Optimism或GnosisSafe中任何漏洞的結果，而是源于在多鏈之前舊版本的GnosisSafe中做出的安全假設。

Tags：TERINTERINTMUTEInter Milan Fan Token幣虎cointiger下載mute幣價

USDC