INT:金色前哨｜2000万OP因何被盗 来看看链上细节

2022年6月9日，做市商Wintermute透露，Optimism发送给其做市的2000万个OP代币被黑客盗取。丢失始末请看金色财经此前报道。

简单概括就是

两周前，OptimismFoundation聘请Wintermute为其在中心化交易所上市的OP代币提供流动性。作为协议的一部分，Wintermute获得了2000万枚OP贷款。

这2000万枚OP将被部署在Wintermute的Optimism钱包。当Wintermute将钱包地址发给Optimism团队时，发送的是Wintermute在主网上部署了一段时间的GnosisSafe多签钱包地址。这里Wintermute犯了一个严重错误，因为控制GnosisSafe多签钱包并不能保证控制EVM兼容链同一地址。

金色晚报 | 4月24日晚间重要动态一览:12:00-21:00关键词：监管沙箱、备案、ETH 2.0、阿里巴巴

1. 国家网信办发布第三批共224个境内区块链信息服务备案编号。

2. 葡萄牙政府发布区块链等新兴技术监管沙箱框架。

3. 互金整治小组会议：加强虚拟货币投机炒作等领域新增风险监测。

4. V神：ETH 2.0需要测试网3个客户端连续稳定运行8周才能启动。

5. 阿里巴巴退出终端挖矿领域 优酷路由宝退市。

6. 北京银行招数字货币等方向博士后。

7. V神：以太坊提案EIP1559可提高以太坊的网络安全性。

8. Zcash推出V2.1.2版本 支持测试网激活Heartwood升级。

9. BSV矿池服务商位列国家网信办第三批区块链服务备案清单。[2020/4/24]

以太坊开发者KelvinFichter解释Wintermute被攻击原因

金色晨讯 | LedgerX：比特币现货和期权交易已对所有人开放 期货即将推出:1.纽约总检察长办公室要求法官驳回Bitfinex和Tether提出的暂缓诉讼的请求。

2.LedgerX：比特币现货和期权交易对所有人开放，期货即将推出。

3.巴西国税局要求从8月1日开始报告所有加密货币交易。

4.税务律师：美国税局正考虑将加密税收列为优先执行事项。

5.李启威：2023年LTC再次减半。

6.俄律师协会提出涉及向代币持有者授予财产权的加密货币征税制度。

7.Ripple已完成八月XRP释放 10亿XRP自托管钱包转出。

8.支付公司Square第二季度比特币销售额达到1.25亿美元。

9.马耳他金融服务管理局(MFSA)原则上批准了 Iconic Funds推出加密资产指数基金的申请。

10.数据显示比特币85%的供应量正在流通，未来120年只剩下315万枚新代币。[2019/8/2]

用户通常假设他们可以在以太坊上访问的任何帐户也可以在其他基于EVM的链上访问。对于外部拥有的账户，这通常是正确的。这不一定适用于智能合约账户。可以使用完全不同的代码在不同链上的相同地址创建合约，从而产生完全不同的所有者。

金色快评 | “区块链+审计”应由监管层推动落实:据Coindesk消息，金融信息服务公司（FISC）与20家银行共同开发了区块链财务报告平台，将上市公司的交易数据转移到区块链上。德勤，安永，毕马威和普华永道四家会计师事务所均在审计上市公司的中期财务报告时进行试用。

财务报告审计的关注重点是报告的真实性和完整性，在传统的审计方法下，审计师需要通过抽查的方式，对报告信息和外部数据进行核对。将审计工作与区块链技术相结合，能够有效降低审计师的工作量、实现审计范围全覆盖，但必须先完成财务数据、交易信息的上链。这就需要对财务数据、交易数据的存储方式进行改变，从服务器或硬盘存储，调整为区块链存储。数据上链除方便审计外，更能从根本上杜绝企业“经营、监管两套账”的行为，最大的受益者实为监管层。从推行数据存储方式变革的角度讲，不能仅仅是某一家企业或者某一个行业的数据上链，需要实现数据全部上链，那么这一变革也需要由监管层面来推动。所以，“区块链+审计”应用落地，重点在于监管层面。[2018/7/21]

EVM地址分为EOA和CA。合约地址又有两种方式获得：

金色财经数据播报 比特币算力大涨15.27%:根据bitinfocharts数据显示，比特币算力目前为34.4439Ehash/s，24小时算力上涨15.27%；以太坊算力出现下跌，目前为273.239Thash/s，24小时算力下跌2.35%；莱特币算力目前为313.706Thash/s，24小时算力跌幅达2.11%；比特币现金算力目前为4.265Ehash/s，24小时算力涨幅达到1.28%。[2018/5/23]

CREATE?new_address=hash(sender,nonce)?

CREATE2new_address=hash(0xFF,sender,salt,bytecode)

与CREATE2不同，通过CREATE创建的合约地址不是基于用于创建合约的代码，而仅基于创建者地址的nonce。

看一下链上细节

1、13天前，Optimism团队从0x25地址测试发送1个OP给Wintermute发送给Optimism团队的地址0x4f

https://optimistic.etherscan.io/tokentxns?a=0x4f3a120e72c76c22ae802d129f599bfdbc31cb81&p=2

2、12天前，Optimism团队分两笔将1900万枚和100万枚OP发送给Wintermute。

直至此时，Wintermute还没有意识到他们没有这个地址的控制权。

3、WintermuteGnosisSafe多签钱包创建于561天前，

https://etherscan.io/tx/0xd705178d68551a6a6f65ca74363264b32150857a26dd62c27f3f96b8ec69ca01

多签合约地址为0x76e2cfc1f5fa8f6a5b3fc4c8f4788f0116861f9b。

从合约代码可知是通过CREATE而不是CREATE2创建的多重签名。

多签钱包地址即为0x4f。

4、4天前，攻击者将旧的Safefactory部署到Optimism。

并开始重复触发create函数以在L2上创建多重签名，进而控制了Optimism上的0x4f地址。

https://optimistic.etherscan.io/tx/0x00a3da68f0f6a69cb067f09c3f7e741a01636cbc27a84c603b468f65271d415b#internal

正如KelvinFichter所说，此事件不是Optimism或GnosisSafe中任何漏洞的结果，而是源于在多链之前旧版本的GnosisSafe中做出的安全假设。

标签：TERINTERINTMISAnyPrinterEncointerPrinter.FinanceDoge-1 Mission to the moon

莱特币价格热门资讯