2022年7月1日,成都链安链必应-区块链安全态势感知平台舆情监测显示,OPtimism链的Quixotic项目遭受黑客攻击,黑客获利847个BNB。成都链安安全团队对事件进行了分析,结果如下。
事件相关信息
据悉,Quixotic是一个可以使用ERC20代币和NFT进行买卖的平台,本次攻击事件发生后,平台目前所有市场活动都已暂停。
Optimism已完成主网Bedrock升级,原生代币OP上涨超过10%:6月7日消息,据官方消息,Optimism已于北京时间6月7日凌晨2点50分完成主网Bedrock升级,Bedrock测序器已经启动。存取款服务已恢复,关键的外部OP主网基础设施已重新运行。本次升级旨在提升区块链性能,将存款确认时间从10分钟减少到1分钟,并将gas费用降低40%。数据显示,Optimism原生代币OP目前报1.49美元,24小时上涨11.7%。[2023/6/7 21:20:49]
?攻击者地址
攻击者:
0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5
攻击者合约:
0xbe81eabdbd437cba43e4c1c330c63022772c2520
Optimism当前独立地址累计超15万:金色财经消息,据Dune Analytics的数据显示,截至4月26日,Optimism的独立地址数量达到了151082个,Optimism总交易量1054.01万美元,过去30天交易量为157.22万美元。[2022/4/26 5:12:46]
?攻击交易
0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df
0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4
?被攻击合约:
0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6
跨链流动性聚合协议Via Protocol新增支持Optimism:3月24日消息,跨链流动性聚合协议Via Protocol宣布新增支持Optimism,当前支持的代币包括USDT、USDC、ETH以及Synthetix生态的SNX、sUSD、sETH、LYRA、THALES等资产。[2022/3/24 14:15:17]
#攻击过程
1.攻击者先创建NFT攻击合约,如图所示。
2.因为用户将ERC20代币过度授权给了ExchangeV4,并且ExchangeV4合约存在漏洞。导致攻击者利用ExchangeV4合约的fillSellOrder函数进行NFT订单创建通过向用户出售攻击合约中的NFT来转移用户向ExchangeV4合约授权的代币。
MetaMask新版本支持Optimism新费用方案:金色财经报道,MetaMask 新版本 V10.5.1 支持最新的 Optimism 费用方案。根据 Optimism 发布的 OVM 2.0 中的交易费用方案,用户交易需要支付两项费用,分别为 L2 执行费用(tx.gasPrice * l2GasUsed)和 L1 费用(l1GasPrice * l1GasUsed)。
此前报道,Optimism 已于本周将 OVM 2.0 更改合并至其主要分支中,并完成了 EVM 等效性升级。EVM 等效性会与 EVM 规范完全一致而不是仅仅兼容,可以简化开发者的开发过程以及降低交易费用。[2021/11/13 6:49:40]
3.攻击完成后,攻击者将所盗资产转移至Tornado.Cash。
漏洞分析
本次攻击主要利用了在ExchangeV4合约中创建的NFT订单地址可以被指定,并且在交易中只验证了卖方签名就进行转账,导致用户在有向ExchangeV4进行ERC20代币授权的情况下,攻击者可以创建自己的NFT单方面进行交易,将虚假的NFT转移给用户换出用户向ExchangeV4合约授权的代币。
在fillSellOrder函数中,攻击者可以指定出售的NFT地址,并且在验证中只验证了攻击者的签名,而未验证买方的签名。那么攻击者可以通过验证,并在调用_fillSellOrder函数时,将攻击合约的NFT转移给买方,并执行_sendERC20PaymentsWithRoyalties函数转移买方向合约授权的ERC20代币
资金追踪
截止发文时,攻击者获利约847个BNB,当前攻击者已将所盗资金向Tornado.Cash转移。
总结
针对本次事件,成都链安安全团队建议:
1.在实现签名交易的功能时,需要验证买卖双方的签名。
2.用户需要避免过度授权保证财产安全。
3.项目上线前,建议选择专业的安全审计公司进行全面的安全审计,以规避安全风险。
2022年7月8日,《上海市培育“元宇宙”新赛道行动方案》发布。《元宇宙行动方案》提出要把握元宇宙虚实映射、虚实交互、虚实融合的演进规律,遵循集成创新、联动发展,市场主导、政府引导等基本原则,助.
1900/1/1 0:00:00来源:老雅痞作者:foobar在这篇文章中,我们将深入探讨:以太坊的PoS共识模型的详细描述以太坊PoS如何从恶意攻击中恢复驳斥常见的反PoS论点讨论流动质押或运行你自己的节点的实用性 信标链的.
1900/1/1 0:00:00原文作者:?SnehaPrajapati去中心化为什么重要?资本主义世界的运行原则是获取更多的资源,这其中包括从他人身上获取财富.
1900/1/1 0:00:00第一章??导论一、研究的背景和意义研究背景近年来,数字经济发展势头越发迅猛,是全球经济增长的一大动力,世界各国对于区块链技术都极其关注,从2015年至今,中央法规、地方性法规相关规定层出不穷.
1900/1/1 0:00:00加密货币交易所第一股Coinbase进入艰难时刻。撰文:凯尔随着6月27日美股收盘,Coinbase股票价格定格在55.96美元,盘中下跌10.76%,而在去年4月,其作为加密资产交易所「第一股.
1900/1/1 0:00:00任何事物都会有一些特殊的指标来衡量其性能。无论是汽车这类简单的实物,还是像区块链技术这样复杂的技术。研究关键性指标帮助我们对不同的区块链进行比较,以便找到最合适开发项目和铸造NFT的区块链.
1900/1/1 0:00:00
火星链