買以太坊 買以太坊
Ctrl+D 買以太坊
ads

TIM:OPtimism鏈的Quixotic項目遭受黑客事件分析_Optimism Doge

Author:

Time:1900/1/1 0:00:00

2022年7月1日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,OPtimism鏈的Quixotic項目遭受黑客攻擊,黑客獲利847個BNB。成都鏈安安全團隊對事件進行了分析,結果如下。

據悉,Quixotic 是一個可以使用ERC20代幣和NFT進行買賣的平臺,本次攻擊事件發生后,平臺目前所有市場活動都已暫停。

Optimism公布第二輪追溯性公共產品募資結果:金色財經報道,以太坊二層擴容方案 Optimism 公布第二輪追溯性公共產品募資(RetroPGF 2)結果,在第二輪 RetroPGF 中,有 195 個人和項目被提名資助,所有 195 人都獲得了徽章持有者的資助。

1000 萬枚 OP 資金平均被分配給三個類別:教育、基礎設施以及工具和公用事業。教育類別中,資助了 70 人或項目,前三名接受者為 L2Beat、ETHGlobal 和 BuidlGuidl;基礎設施類別資助了 43 個項目,前三名接受者為 Protocol Guild、geth 和 Solidity;工具和公用事業項目類別資助了 82 個項目,前三名接受者為 OpenZeppelin、DefiLlama 和 wagmi。[2023/3/31 13:36:18]

?攻擊者地址

DeFi社交交易平臺Nested宣布上線Optimism:4月28日消息,DeFi社交交易平臺Nested宣布上線Optimism,支持用戶創建投資組合。據悉,當投資組合被其他用戶復制時,創建者將獲得特許權使用費。

此前報道,Nested完成750萬美元A輪融資,億萬富翁Alan Howard領投,Polychain Capital的Joseph Eagan和Lily Liu等參投。[2022/4/28 2:36:09]

攻擊者:

0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5

Optimism以16.5億美元的估值完成1.5億美元的B輪融資:金色財經報道,以太坊二層解決方案Optimism官方博客稱,在主網上使用一年多后,Optimism為用戶節省了超過10億美元的Gas費,已部署數以千計的合約;Optimism代碼在主網上的三個分支。現在,對DevEx的關注使我們成為唯一的EVM等效 L2,提供與所有頂級以太坊開發人員工具的完全兼容性。此外,Optimism宣布,最近以16.5 億美元的估值完成1.5 億美元的 B 輪融資。[2022/3/18 14:03:35]

攻擊者合約:

0xbe81eabdbd437cba43e4c1c330c63022772c2520

私人直升機公司Hill Helicopters與CoinCorner達成合作,支持比特幣付款:8月9日消息,希爾直升機公司與CoinCorner達成合作,可以接受比特幣支付,助力航空領域增加比特幣的使用。目前,HX50私人直升機客戶已經使用了比特幣進行付款。(helihub)[2021/8/9 1:44:00]

?攻擊交易

0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df

0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4

?被攻擊合約:

0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6

1. 攻擊者先創建NFT攻擊合約,如圖所示。

2.因為用戶將ERC20代幣過度授權給了ExchangeV4(被攻擊合約),并且ExchangeV4合約存在漏洞。導致攻擊者利用ExchangeV4合約的fillSellOrder函數進行NFT訂單創建通過向用戶出售攻擊合約中的NFT來轉移用戶向ExchangeV4合約授權的代幣。

3.攻擊完成后,攻擊者將所盜資產轉移至Tornado.Cash。

本次攻擊主要利用了在ExchangeV4合約中創建的NFT訂單地址可以被指定,并且在交易中只驗證了賣方簽名就進行轉賬,導致用戶在有向ExchangeV4進行ERC20代幣授權的情況下,攻擊者可以創建自己的NFT單方面進行交易,將虛假的NFT轉移給用戶換出用戶向ExchangeV4合約授權的代幣。

在fillSellOrder函數中,攻擊者可以指定出售的NFT地址,并且在驗證中只驗證了攻擊者的簽名,而未驗證買方的簽名。那么攻擊者可以通過驗證,并在調用_fillSellOrder函數時,將攻擊合約的NFT轉移給買方,并執行_sendERC20PaymentsWithRoyalties函數轉移買方向合約授權的ERC20代幣

截止發文時,攻擊者獲利約847個BNB,當前攻擊者已將所盜資金向Tornado.Cash轉移。

針對本次事件,成都鏈安安全團隊建議:

1.在實現簽名交易的功能時,需要驗證買賣雙方的簽名。

2.用戶需要避免過度授權保證財產安全。

3.項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,以規避安全風險。

Tags:OPTOPTITIMISMOPT3OPTIG幣XTIMEOptimism Doge

火幣交易所
HYPER:資產安全問題或制約加密行業發展 風控+合規成為平臺破局關鍵_HyperGPT

區塊鏈資金面臨多角度安全風險。任何一個環節的一個小疏忽都會導致慘重損失。行業良莠不齊,信任成本的問題并沒有因區塊鏈技術而產生較大的變化,尤其是涉及到大額資金的情況下,譬如交易所、錢包的跑路行為;.

1900/1/1 0:00:00
AMP:人類交易史:證券交易所、加密貨幣交易所和去中心化交易所的發展與比較 (上)_Meta Game City

報告分為上中下三篇發放:上篇闡述報告的第一章節探尋人類交易史的意義和第二章節歷史背景;中篇敘述證券交易所、加密貨幣交易所和去中心化交易所的技術發展;下篇說明三種交易所市場結構的形成與演進、突破性.

1900/1/1 0:00:00
WEB:Web3——互聯網新造神“機器”_NFT

Web3領域正在進行著互聯網時代的新“造神”運動,成為2022年投資圈的唯一一抹亮色。當它的發展真正還原到大眾用戶的核心需求上來,一場關于Web3的祛魅也就完成了.

1900/1/1 0:00:00
USHI:金色趨勢丨牛市來了嗎?_SHI

金色晚報 | 10月4日晚間重要動態一覽:12:00-21:00關鍵詞:SUSHI、DOT、Cardano、NEST、Cosmos 1. SUSHI跌破1美元.

1900/1/1 0:00:00
SIU:解讀Celsius的破產申請表:現在它還有多少子彈_ELS

“君有疾在腠理,不治將恐深。”行情好時自然對病狀視而不見,而行情差時Celsius終究還是申請破產了。時間來到7月15日,Celsius已向紐約法院提出破產申請.

1900/1/1 0:00:00
TOK:牛熊周期與加密的未來如何演變?看看紅杉資本怎么說_TOKE

紅杉資本成立于1972年,到今年剛好50年,在全球風險投資領域,紅杉資本是無可爭議的帶頭大哥。自成立以來,紅杉資本成功投資了蘋果、思科、甲骨文、谷歌等巨頭公司,見證了一個又一個傳奇企業的閃耀時刻.

1900/1/1 0:00:00
ads