買以太坊 買以太坊
Ctrl+D 買以太坊
ads

IMI:OPtimism鏈的Quixotic項目遭受黑客事件分析_optimus幣最新消息

Author:

Time:1900/1/1 0:00:00

2022年7月1日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,OPtimism鏈的Quixotic項目遭受黑客攻擊,黑客獲利847個BNB。成都鏈安安全團隊對事件進行了分析,結果如下。

事件相關信息

據悉,Quixotic是一個可以使用ERC20代幣和NFT進行買賣的平臺,本次攻擊事件發生后,平臺目前所有市場活動都已暫停。

Optimism Bedrock升級已啟動:6月7日消息,Optimism宣布已開始啟動主網Bedrock升級,Optimism Bedrock會在降低交易費用、縮短系統延遲、提高節點性能等方面進行升級。

此前報道,Optimism表示,升級將需要主網停機2 - 4小時,停機期間將無法進行交易、充值和提款。[2023/6/7 21:20:31]

?攻擊者地址

攻擊者:

0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5

攻擊者合約:

0xbe81eabdbd437cba43e4c1c330c63022772c2520

數據研究員J.Hackworth:以太坊仍占據主導地位,空投投機者推動Arbitrum和Optimism增長:1月24日消息,數據研究員J.Hackworth發布了一個Dune儀表盤,對推動以太坊、Arbitrum和Optimism等發展的指標進行了解析,包括Layer2整體與以太坊的對比、錢包、參與度及推動增長的協議等。發現雖然Optimism和Arbitrum的交易組合產生了更多交易,但以太坊仍擁有5倍獨立用戶;過去一年內,93%的以太坊活躍地址從未離開過以太坊,而Optimism和Arbitrum地址中存在63%及59%的地址用戶是多鏈的;相較于Arbitrum,Optimism擁有更多的余額超50萬美元的錢包地址[2023/1/24 11:28:50]

?攻擊交易

Optimism 推出 Optimism 生態基金會:5月18日消息,以太坊二層擴容網絡 Optimism 公布去中心治理最新進展,發布了 Optimism Collective 治理操作手??冊 v0.1,授權 Token House 執行升級和資金庫分配等事情。此外,推出了一個新的獨立的實體 Optimism 生態基金會,以實現持久的治理系統,其主要職責包括:追溯公共產品資金和基于身份的 NFT 實驗、維護《操作手冊》、在執行以治理為導向的鏈上行動,該基金會由 Optimism 的兩位創始人 Jing 和 Ben 領導。

Optimism 表示,重點將轉向基于身份的 NFT 治理層 Citizens' House,Citizens' House 由公民 NFT 持有者管理,主要職責將是資助那些對 Optimism 和以太坊生態系統產生最積極影響的公共產品。第一個 Citizens' House 實驗及其相應的 Citizenship NFT 系列將成為 Collective 的下一個重要里程碑。[2022/5/18 3:24:04]

0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df

利率交易協議Pegasus Finance已上線以太坊Layer2擴容方案Optimism:金色財經消息,利率交易協議Pegasus Finance已上線以太坊Layer2擴容方案Optimism,用戶可交易Aave上USDC的存款利率與永續合約產品Squeeth上的資金費率。[2022/4/20 14:37:02]

0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4

?被攻擊合約:

0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6

#攻擊過程

1.攻擊者先創建NFT攻擊合約,如圖所示。

2.因為用戶將ERC20代幣過度授權給了ExchangeV4,并且ExchangeV4合約存在漏洞。導致攻擊者利用ExchangeV4合約的fillSellOrder函數進行NFT訂單創建通過向用戶出售攻擊合約中的NFT來轉移用戶向ExchangeV4合約授權的代幣。

3.攻擊完成后,攻擊者將所盜資產轉移至Tornado.Cash。

漏洞分析

本次攻擊主要利用了在ExchangeV4合約中創建的NFT訂單地址可以被指定,并且在交易中只驗證了賣方簽名就進行轉賬,導致用戶在有向ExchangeV4進行ERC20代幣授權的情況下,攻擊者可以創建自己的NFT單方面進行交易,將虛假的NFT轉移給用戶換出用戶向ExchangeV4合約授權的代幣。

在fillSellOrder函數中,攻擊者可以指定出售的NFT地址,并且在驗證中只驗證了攻擊者的簽名,而未驗證買方的簽名。那么攻擊者可以通過驗證,并在調用_fillSellOrder函數時,將攻擊合約的NFT轉移給買方,并執行_sendERC20PaymentsWithRoyalties函數轉移買方向合約授權的ERC20代幣

資金追蹤

截止發文時,攻擊者獲利約847個BNB,當前攻擊者已將所盜資金向Tornado.Cash轉移。

總結

針對本次事件,成都鏈安安全團隊建議:

1.在實現簽名交易的功能時,需要驗證買賣雙方的簽名。

2.用戶需要避免過度授權保證財產安全。

3.項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,以規避安全風險。

Tags:IMIMISOPTTIMSASHIMI幣Misblocoptimus幣最新消息Time New Bank

比特幣價格今日行情
比特幣:還敢炒幣?美圖入幣圈一年半 虧損超3億元......_SON

7月3日,港股上市公司美圖發布內幕消息及盈利警告公告,指出截至2022年6月30日,公司可能錄得約人民幣2.749億元至3.499億元之間的凈虧損.

1900/1/1 0:00:00
區塊鏈:為什么說這8個NFT實例具有里程碑式意義?_NFT

實際上從Beeple的作品破圈讓很多人知道NFT到今天,時間還不到18個月。但行業的變化實在太快,新的熱點目不暇接,有種稍縱即逝的感覺.

1900/1/1 0:00:00
SDT:晚間必讀5篇 | 如何構建加密銀行系統?_以太坊

1.以太坊2.0大變革以太坊和Miner會走向何方?自2015年以太坊主網上線以來,以太坊經歷了大大小小幾次迭代更新,目前以太坊已經經歷了四個規劃階段中的前三個階段.

1900/1/1 0:00:00
CRYPTO:谷歌前CEO:Web3 愿景是正確的_web3游戲賺錢

前谷歌首席執行官埃里克·施密特表示支持Web3和Crypto行業,但他認為這些行業需要更多的改進才能發揮行業本身出色的性能.

1900/1/1 0:00:00
BTC:金色晚報 | 7月10日晚間重要動態一覽_區塊鏈

12:00-21:00關鍵詞:OmniX、PolygonStudios、MicroStrategy、斯里蘭卡1.NFT金融化協議OmniX遭攻擊.

1900/1/1 0:00:00
NAM:元宇宙大幕拉開 誰在“跑馬圈地”?_元宇宙怎么賺錢

7月6日,元宇宙空間技術服務商構賽博宣布已于近日完成千萬元人民幣種子輪融資。據不完全統計,自4月以來“元宇宙”領域共計發生超過40余起融資,代表性的“虛擬人”企業魔琺科技在4月6日連續完成B輪、.

1900/1/1 0:00:00
ads