2022年7月1日,成都链安链必应-区块链安全态势感知平台舆情监测显示,OPtimism链的Quixotic项目遭受黑客攻击,黑客获利847个BNB。成都链安安全团队对事件进行了分析,结果如下。
据悉,Quixotic 是一个可以使用ERC20代币和NFT进行买卖的平台,本次攻击事件发生后,平台目前所有市场活动都已暂停。
Optimism Collective推出co-grants,允支持Optimism Grants Council工作并获得链上贡献记录:6月3日消息,Optimism Governance 发推称,Optimism Collective 与链上基础设施 Syndicate 合作推出 co-grants,允许用户支持 Optimism Grants Council 工作并获得链上贡献记录。用户的共同赠款收益将直接流入匹配合约。在 V1 中,匹配合约将由 Optimism 基金会管理,分配将根据 Optimism Grants Council 的决定执行。作为回报,贡献用户将收到共同授予人 NFT 和 Optimism Attestation(证明)。[2023/6/3 11:55:57]
?攻击者地址
Optimism和Arbitrum交易量稳定走高:10月16日消息,作为以太坊Layer 2解决方案推出的平台,Optimism和Arbitrum平台近期交易量持续稳定走高,并在9月份达到了开放以来的最高峰。两者之间的一个关键区别是Arbitrum没有代币,Optimism则在今年4月底宣布推出其代币,并于5月正式发布,之后平台交易额激增。9月26日,Arbitrum单日交易额达到22.8万美元。短短一天后,Optimism单日交易额突破26.6万美元。市场占有率上,Arbitrum目前在所有Layer 2 Protocols中拥有最高的TVL,占有50%的市场份额;根据L2Beat的数据,Optimism的市场占有率约为30%。
相比之下,排在Optimism 和 Arbitrum之后的Metis,市场份额仅为2.71%。7月26日,Metis宣布了一项为期26周的激励计划,随后TVL也增长了60%。然而,自那以后,该指数已逐渐回落到稍高于声明发布前的水平。[2022/10/16 14:29:10]
攻击者:
Optimsim回应巨额转账:仅是按计划向投资者的Coinbase托管钱包进行转账:8月18日消息,Optimsim基金会多签钱包于北京时间8月18日凌晨陆续向Coinbase托管钱包转账共计约4.5亿枚OP。Optimsim基金会解释称该转账行为并非Token解锁也不会导致当前Token供应量的变化,仅向OP Labs PBC的各种投资者的Coinbase托管钱包执行了一系列计划中的标准转账。
Optimsim还表示,以后将提前宣布计划中的巨额转移,以避免对社区造成困惑。[2022/8/18 12:32:57]
0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5
AOFEX即将上线A网通证OT(Option Token):据官方消息,AOFEX 即将上线A网通证 OT(Option Token),并逐步开放预售及申购,预售额度1500万OT,申购额度500万OT,总量为2000万OT。
OT是AOFEX基于ERC20发行的数字资产,发行总量为1亿枚,早期流通20%。OT用于推动平台生态建设和完善,覆盖平台在全球范围内所有业务,也是AOFEX社区的权益证明,持有者可优先参与平台优质项目及活动,以及享受更多权益。
AOFEX是领先数字货币金融衍生品交易所,已获美国MSB牌照及新加坡MAS豁免许可,24小时为90万用户提供优质服务和资产安全保障。[2020/5/13]
攻击者合约:
0xbe81eabdbd437cba43e4c1c330c63022772c2520
?攻击交易
0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df
0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4
?被攻击合约:
0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6
1. 攻击者先创建NFT攻击合约,如图所示。
2.因为用户将ERC20代币过度授权给了ExchangeV4(被攻击合约),并且ExchangeV4合约存在漏洞。导致攻击者利用ExchangeV4合约的fillSellOrder函数进行NFT订单创建通过向用户出售攻击合约中的NFT来转移用户向ExchangeV4合约授权的代币。
3.攻击完成后,攻击者将所盗资产转移至Tornado.Cash。
本次攻击主要利用了在ExchangeV4合约中创建的NFT订单地址可以被指定,并且在交易中只验证了卖方签名就进行转账,导致用户在有向ExchangeV4进行ERC20代币授权的情况下,攻击者可以创建自己的NFT单方面进行交易,将虚假的NFT转移给用户换出用户向ExchangeV4合约授权的代币。
在fillSellOrder函数中,攻击者可以指定出售的NFT地址,并且在验证中只验证了攻击者的签名,而未验证买方的签名。那么攻击者可以通过验证,并在调用_fillSellOrder函数时,将攻击合约的NFT转移给买方,并执行_sendERC20PaymentsWithRoyalties函数转移买方向合约授权的ERC20代币
截止发文时,攻击者获利约847个BNB,当前攻击者已将所盗资金向Tornado.Cash转移。
针对本次事件,成都链安安全团队建议:
1.在实现签名交易的功能时,需要验证买卖双方的签名。
2.用户需要避免过度授权保证财产安全。
3.项目上线前,建议选择专业的安全审计公司进行全面的安全审计,以规避安全风险。
6月20日,酷狗音乐发行全国首个非遗乐器数字音乐藏品“古乐华章”。6月20日,深圳国际预科学院官方公众号发布消息称:将发行国内国际高中首个原创IP数字藏品.
1900/1/1 0:00:00尽管仍处于早期的发展阶段,但元宇宙带来的发展声浪与热潮丝毫不减。元宇宙(Metaverse)在1992年科幻小说《雪崩》中被首次提出.
1900/1/1 0:00:00撰文:Sleepy最近几条关于 NFT IP 授权的新闻扎堆出现,让很多人终于开始关注这一赛道。在这几天,有的无聊猿被挂到「人才市场」,有的无聊猿则穿上了新的系列套装.
1900/1/1 0:00:00原文编译:0x711&wzp,BlockBeats比特币 ETF 作为跟踪比特币价格的资产,无需经过购买比特币的过程,如注册交易平台和通过各种验证,通过投资比特币 ETF.
1900/1/1 0:00:00发现一件很奇怪的事情。整个市场历经了公链、DeFi、BTC突破6.9K、NFT几次浩浩荡荡的行情以后,反倒是Filcion在国内散户中表现出了独一档的影响力.
1900/1/1 0:00:00出海一直是游戏的趋势。国内游戏版号的发放肯定是在逐步收缩的,而GameFi提供了一个很好的出海新方向。游戏大厂正在加入链游的行列.
1900/1/1 0:00:00