OPTI:OPtimism链的Quixotic项目遭受黑客事件分析

2022年7月1日，成都链安链必应-区块链安全态势感知平台舆情监测显示，OPtimism链的Quixotic项目遭受黑客攻击，黑客获利847个BNB。成都链安安全团队对事件进行了分析，结果如下。

据悉，Quixotic 是一个可以使用ERC20代币和NFT进行买卖的平台，本次攻击事件发生后，平台目前所有市场活动都已暂停。

Optimism Collective推出co-grants，允支持Optimism Grants Council工作并获得链上贡献记录:6月3日消息，Optimism Governance 发推称，Optimism Collective 与链上基础设施 Syndicate 合作推出 co-grants，允许用户支持 Optimism Grants Council 工作并获得链上贡献记录。用户的共同赠款收益将直接流入匹配合约。在 V1 中，匹配合约将由 Optimism 基金会管理，分配将根据 Optimism Grants Council 的决定执行。作为回报，贡献用户将收到共同授予人 NFT 和 Optimism Attestation（证明）。[2023/6/3 11:55:57]

?攻击者地址

Optimism和Arbitrum交易量稳定走高:10月16日消息，作为以太坊Layer 2解决方案推出的平台，Optimism和Arbitrum平台近期交易量持续稳定走高，并在9月份达到了开放以来的最高峰。两者之间的一个关键区别是Arbitrum没有代币，Optimism则在今年4月底宣布推出其代币，并于5月正式发布，之后平台交易额激增。9月26日，Arbitrum单日交易额达到22.8万美元。短短一天后，Optimism单日交易额突破26.6万美元。市场占有率上，Arbitrum目前在所有Layer 2 Protocols中拥有最高的TVL，占有50%的市场份额；根据L2Beat的数据，Optimism的市场占有率约为30%。

相比之下，排在Optimism 和 Arbitrum之后的Metis，市场份额仅为2.71%。7月26日，Metis宣布了一项为期26周的激励计划，随后TVL也增长了60%。然而，自那以后，该指数已逐渐回落到稍高于声明发布前的水平。[2022/10/16 14:29:10]

攻击者：

Optimsim回应巨额转账：仅是按计划向投资者的Coinbase托管钱包进行转账:8月18日消息，Optimsim基金会多签钱包于北京时间8月18日凌晨陆续向Coinbase托管钱包转账共计约4.5亿枚OP。Optimsim基金会解释称该转账行为并非Token解锁也不会导致当前Token供应量的变化，仅向OP Labs PBC的各种投资者的Coinbase托管钱包执行了一系列计划中的标准转账。

Optimsim还表示，以后将提前宣布计划中的巨额转移，以避免对社区造成困惑。[2022/8/18 12:32:57]

0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5

AOFEX即将上线A网通证OT（Option Token）:据官方消息，AOFEX 即将上线A网通证 OT（Option Token），并逐步开放预售及申购，预售额度1500万OT，申购额度500万OT，总量为2000万OT。

OT是AOFEX基于ERC20发行的数字资产，发行总量为1亿枚，早期流通20%。OT用于推动平台生态建设和完善，覆盖平台在全球范围内所有业务，也是AOFEX社区的权益证明，持有者可优先参与平台优质项目及活动，以及享受更多权益。

AOFEX是领先数字货币金融衍生品交易所，已获美国MSB牌照及新加坡MAS豁免许可，24小时为90万用户提供优质服务和资产安全保障。[2020/5/13]

攻击者合约：

0xbe81eabdbd437cba43e4c1c330c63022772c2520

?攻击交易

0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df

0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4

?被攻击合约：

0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6

1. 攻击者先创建NFT攻击合约，如图所示。

2.因为用户将ERC20代币过度授权给了ExchangeV4（被攻击合约），并且ExchangeV4合约存在漏洞。导致攻击者利用ExchangeV4合约的fillSellOrder函数进行NFT订单创建通过向用户出售攻击合约中的NFT来转移用户向ExchangeV4合约授权的代币。

3.攻击完成后，攻击者将所盗资产转移至Tornado.Cash。

本次攻击主要利用了在ExchangeV4合约中创建的NFT订单地址可以被指定，并且在交易中只验证了卖方签名就进行转账，导致用户在有向ExchangeV4进行ERC20代币授权的情况下，攻击者可以创建自己的NFT单方面进行交易，将虚假的NFT转移给用户换出用户向ExchangeV4合约授权的代币。

在fillSellOrder函数中，攻击者可以指定出售的NFT地址，并且在验证中只验证了攻击者的签名，而未验证买方的签名。那么攻击者可以通过验证，并在调用_fillSellOrder函数时，将攻击合约的NFT转移给买方，并执行_sendERC20PaymentsWithRoyalties函数转移买方向合约授权的ERC20代币

截止发文时，攻击者获利约847个BNB，当前攻击者已将所盗资金向Tornado.Cash转移。

针对本次事件，成都链安安全团队建议：

1.在实现签名交易的功能时，需要验证买卖双方的签名。

2.用户需要避免过度授权保证财产安全。

3.项目上线前，建议选择专业的安全审计公司进行全面的安全审计，以规避安全风险。

标签：OPTIPTIOPTTIMOptimusCatEncryption AIOPT3价格Optimism BOB

币安app官网下载热门资讯