慢雾：Optimism 最大 NFT 平台 Quixotic 出现漏洞，大量用户资产被盗

链捕手消息，据慢雾安全团队情报，2022年7月1号，Optimism生态最大NFT平台Quixotic出现严重漏洞，大量用户资产被盗，提醒在该市场上进行过交易的用户尽快取消授权。

慢雾：区块链因黑客攻击损失总金额已超300亿美元:金色财经报道，据慢雾统计数据显示，自2012年1月以来，区块链黑客造成的损失总金额约为30,011,604,576.24美元；黑客事件总数达到1101起。

其中Exchange、ETH Ecosystem、Bridge是在黑客攻击中损失最大的类别，损失金额分别为10,953,323,803.39美元、3,123,297,416.28美元，2,005,030,543.30美元。另外合约漏洞、Rug Pull、闪电贷攻击是最常见的攻击方式，分别发生黑客事件137起，106起，87起。[2023/7/7 22:24:09]

据悉，平台在市场合约的fillSellOrder函数中仅对卖单进行了检查，并未对买家的买单做检查。故攻击者首先创建了任意的NFT合约，调用fillSellOrder函数生成卖单，将buyer参数传为受害者地址、paymentERC20参数传为需要盗取的代币地址，即可将对该市场合约有授权的用户的代币转走获利。

慢雾：Quixotic黑客盗取约22万枚OP，跨链至BNB Chain后转入Tornado Cash:7月1日消息，据慢雾分析，Quixotic黑客盗取了大约22万枚OP（约11.9万美元），然后将其兑换成USDC并跨链到BNB Chain，之后将其兑换成BNB并转入Tornado Cash。[2022/7/1 1:44:55]

用户可利用Optimism官方浏览器的授权管理功能https://optimistic.etherscan.io/tokenapprovalchecker查看或者取消授权。

动态 | 慢雾：Electrum“更新钓鱼”盗币攻击补充预警:Electrum 是全球知名的比特币轻钱包，支持多签，历史悠久，具有非常广泛的用户群体，许多用户喜欢用 Electrum 做比特币甚至 USDT(Omni) 的冷钱包或多签钱包。基于这种使用场景，Electrum 在用户电脑上使用频率会比较低。Electrum 当前最新版本是 3.3.8，而已知的 3.3.4 之前的版本都存在“消息缺陷”，这个缺陷允许攻击者通过恶意的 ElectrumX 服务器发送“更新提示”。这个“更新提示”对于用户来说非常具有迷惑性，如果按提示下载所谓的新版本 Electrum，就可能中招。据用户反馈，因为这种攻击，被盗的比特币在四位数以上。本次捕获的盗币攻击不是盗取私钥（一般来说 Electrum 的私钥都是双因素加密存储的），而是在用户发起转账时，替换了转账目标地址。在此我们提醒用户，转账时，需要特别注意目标地址是否被替换，这是近期非常流行的盗币方式。并建议用户使用 Ledger 等硬件钱包，如果搭配 Electrum，虽然私钥不会有什么安全问题，但同样需要警惕目标地址被替换的情况。[2020/1/19]

标签：TRUECTRECTELECtrustwallet安卓版下载ECTR币INVECTAIBelecX Protocol

币赢热门资讯