2022年6月9日,做市商Wintermute透露,Optimism发送给其做市的2000万个OP代币被黑客盗取。
简单概括就是
两周前,OptimismFoundation聘请Wintermute为其在中心化交易所上市的OP代币提供流动性。作为协议的一部分,Wintermute获得了2000万枚OP贷款。
这2000万枚OP将被部署在Wintermute的Optimism钱包。当Wintermute将钱包地址发给Optimism团队时,发送的是Wintermute在主网上部署了一段时间的GnosisSafe多签钱包地址。这里Wintermute犯了一个严重错误,因为控制GnosisSafe多签钱包并不能保证控制EVM兼容链同一地址。
Negentropy Capital向元宇宙项目MetaGPT.AI投资200万美元:2月10日消息,Web3投资机构Negentropy Capital官方宣布向MetaGPT.AI(项目原名MetaverseX)投资200万美元。据悉,MetaGPT即将发布最新人工智能产品Kryptal,为Web3行业提供垂直行业知识库训练的机器人,新版官网同时启用顶级域名Metagpt.ai。[2023/2/10 11:59:24]
以太坊开发者KelvinFichter解释Wintermute被攻击原因
用户通常假设他们可以在以太坊问的任何帐户也可以在其他基于EVM的链问。对于外部拥有的账户,这通常是正确的。这不一定适用于智能合约账户。可以使用完全不同的代码在不同链上的相同地址创建合约,从而产生完全不同的所有者。
数据:2022年加密盗窃的“最低月度金额”为6200万美元:金色财经报道,根据区块链安全公司 CertiK 发布的数据,2022 年 12 月加密货币被盗事件发生的次数最少,总数约为 23 起,有价值 6220 万美元的加密货币被盗,这也是2022年加密盗窃的“最低月度金额”。12 月 2 日的 Helio Protocol 事件是当月最大的黑客攻击事件,占 6220 万美元总额的 98.5%,攻击者利用 Ankr Reward Bearing Staked BNB (aBNBc) 的价格差异借入价值数百万美元的 HAY ,控制稳定币 HAY (HAY) 的协议遭受了损失,数万亿aBNBc被铸造,aBNBc 价格近乎归零。[2023/1/3 22:21:38]
EVM地址分为EOA和CA。合约地址又有两种方式获得:
Oasys完成2000万美元Token私募融资,Republic Capital领投:7月7日消息,由日本知名游戏企业万代南梦宫与世嘉联合推出的游戏专用区块链项目 Oasys 宣布完成 2000 万美元 Token 私募融资,本轮融资由 Republic Capital 领投,Jump Crypto、Cryptocom、Huobi、Kucoin、bitbank 和 Mirana Ventures 等参投。Oasys 旨在为玩家创造更好的区块链游戏体验,该公司正在开发创新解决方案,以解决 Web3 游戏交易速度慢、Gas 费用高和界面未优化等问题,同时为游戏开发人员、Web3 专家和区块链游戏公会构建可扩展的加密原生生态系统,其链上初始验证者包括 Bandai Namco Research、SEGA、Ubisoft、Netmarble、Wemade、Com2uS 和 Yield Guild Games。
此前报道,2 月 9 日,日本知名游戏企业万代南梦宫与世嘉推出名为 Oasys 的游戏专用区块链项目。该项目的创始成员包括万代南梦宫研究所所长中谷肇、世嘉副总裁内海修二、double jump.tokyo CEO 上野博信和 Thirdverse CEO 国光博尚。该项目将由具有开发 Tezuka Productions 和 NFT 的记录的 doublejump.tokyo 领导。Oasys 兼容 EVM,使用权益证明共识机制,并支持多链。此外,该项目将在区块链上为考虑发行和销售 NFT 的企业提供交易服务,不向用户收取费用。[2022/7/7 1:57:03]
CREATEnew_address=hash(sender,nonce)
CREATE2new_address=hash(0xFF,sender,salt,bytecode)
与CREATE2不同,通过CREATE创建的合约地址不是基于用于创建合约的代码,而仅基于创建者地址的nonce。
看一下链上细节
1、13天前,Optimism团队从0x25地址测试发送1个OP给Wintermute发送给Optimism团队的地址0x4f
https://optimistic.etherscan.io/tokentxns?a=0x4f3a120e72c76c22ae802d129f599bfdbc31cb81&p=2
2、12天前,Optimism团队分两笔将1900万枚和100万枚OP发送给Wintermute。
直至此时,Wintermute还没有意识到他们没有这个地址的控制权。
3、WintermuteGnosisSafe多签钱包创建于561天前,
https://etherscan.io/tx/0xd705178d68551a6a6f65ca74363264b32150857a26dd62c27f3f96b8ec69ca01
多签合约地址为0x76e2cfc1f5fa8f6a5b3fc4c8f4788f0116861f9b。
从合约代码可知是通过CREATE而不是CREATE2创建的多重签名。
多签钱包地址即为0x4f。
4、4天前,攻击者将旧的Safefactory部署到Optimism。
并开始重复触发create函数以在L2上创建多重签名,进而控制了Optimism上的0x4f地址。
https://optimistic.etherscan.io/tx/0x00a3da68f0f6a69cb067f09c3f7e741a01636cbc27a84c603b468f65271d415b#internal
正如KelvinFichter所说,此事件不是Optimism或GnosisSafe中任何漏洞的结果,而是源于在多链之前旧版本的GnosisSafe中做出的安全假设。
标签:TERINTINTERWINThorstarterInternet of PeopleMinterPepe Twins
尊敬的欧易用户:为了营造区块链行业健康的数字资产环境,优化项目的流动性,给用户提供良好的交易体验,欧易风控部门根据《欧易关于隐藏TOKEN及下线交易对的规则》.
1900/1/1 0:00:00DearValuedUsers,CandyDropislaunchingEGAMEonJune2,2022.Registrationperiod:?EGAME:11:00(UTC)June10.
1900/1/1 0:00:00尊敬的唯客用户您好!唯客WEEX唯客跟单系统已正式上线!唯客WEEX跟单功能为用户极大地降低了合约交易的门槛,同时交易员也可通过本功能收获精准粉丝、盈利分成、资管基金、流量露出.
1900/1/1 0:00:00我們建議賣家可以採取以下措施來防止銀行賬戶被凍結,或促進事件的快速處理:賣家接單後,通過Chat向買家索要額外的身份驗證文件,包括電話號碼.
1900/1/1 0:00:00親愛的用戶們:AAX即將上線ZEDXION(ZEDXION),詳情如下:充值開放時間:2022年6月14日17:00提幣開放時間:2022年6月15日17:00交易開放時間:2022年6月15日.
1900/1/1 0:00:00DearKuCoinUsers,KucoinhasnowopenedtheArbitrumdepositserviceforAave(AAVE).UserscanchecktheAssets&g.
1900/1/1 0:00:00