2000万OP被盗事件安全启示：多签钱包使用者需警惕哪些风险？

6月9日，Optimism在社交媒体上公布，由于与加密货币做市商Wintermute合作过程中的沟通与技术失误，目前已有2000万枚OP被黑客控制。起初，由Optimism基金会向Wintermute发送2000万枚OP用于做市，而后Wintermute发现其提供的接收地址是Layer1地址，在Wintermute将其转向Layer2前，攻击者已抢先使用不同的初始化参数将其部署。截至目前，黑客已抛售约100万枚被盗OP。对此事件，以太坊开发者KelvinFichter解释了漏洞被攻击的原因，他表示，智能合约账户与EOA不同，普通EOA用户可以访问任意EVM链的账户，但智能合约账户不能。以下文字整理于KelvinFichter在社交媒体的发言。需要说明，此事件不是Optimism或GnosisSafe中任何漏洞的结果，而是源于在旧版本的GnosisSafe中做出的安全假设。旧版本的GnosisSafe工厂合约是通过没有链ID的交易部署的。这意味着可以在以太坊以外的链上重置这些交易。在某些方面，这真的很有用。这意味着可以将同一工厂部署到每条链上同一地址上。正如现在工厂被部署到Optimism。不幸的是，在使用这个较旧的工厂合约时，GnosisSafeUI有时会使用createProxy函数，该函数通过CREATE而不是CREATE2创建多重签名。与CREATE2不同，通过CREATE创建的合约地址不是基于用于创建合约的代码，而仅基于创建者地址的nonce。这意味着攻击者可以将旧的Safe工厂部署到Optimism并开始重新触发createProxy函数以在L2上创建多重签名。

区块链游戏工作室Core Loop完成1200万美元融资，a16领投:11月5日消息，游戏工作室Core Loop完成1200万美元融资，a16z领投，以及其他投资者Galaxy Digital、Initial Capital、Dune Ventures、1up Ventures和Sisu Game Ventures参投。该公司于去年由手游老手Vincenzo Alagna和Dan Chao创立。该笔资金将用于使用区块链技术开发沙盒大型多人在线游戏。（venturebeat）[2021/11/5 21:28:42]

FTX将在美国启动2000万美元广告活动，NFL巨星Tom Brady出镜:9月9日消息，据《华尔街日报》报道，加密衍生品交易所FTX的美国分公司FTX.US将于今日启动价值2000万美元的广告宣传活动，NFL（职业橄榄球大联盟）巨星Tom Brady及其模特妻子Gisele Bündchen出镜。该广告将在NFL比赛转播中拨出，从周四起一直播放到10月，并会搭配数字广告。FTX.US总裁Brett Harrison说FTX在美国初来乍到，需要诉诸大规模的品牌推广、广告和赞助活动，让消费者熟悉其技术、客户服务和产品，籍此与Coinbase和Kraken等美国老牌公司展开竞争。Harrison称此轮广告力求覆盖了解加密货币并有多种选择的用户，以及不知从何处入手的新用户。本周二，FTX也将NBA巨星斯蒂芬·库里招致麾下，出任其全球品牌大使。FTX还与迈阿密热火队主场（现称FTX Arena）签订了价值1.35亿美元的冠名合同。（华尔街日报）[2021/9/9 23:11:23]

调查：玩家平均每天赚取151–200SLP，相当于月入上千美元:据CoinGecko今日发布有关AxieInfinity的推特社区民意调查显示，玩家平均每天赚取151-200SLP，且68%的玩家认为AxieInfinity可能会成为全职工作。玩家类型及行为方面，AxieInfinity56%的玩家亚洲，54%的玩家年龄在19至29岁之间。近60%的玩家使用手机/平板电脑作为游戏终端。大多数玩家每天都玩游戏，每个玩家次游戏最多消费2小时。收益方面，玩家平均每日赚取151–200SLP（55.50美元），相当于每月1665美元。据报告，即使SLP价格从0.03美元涨至0.06美元，其月收入仍不及马来西亚和菲律宾的最低工资。[2021/7/26 1:16:03]

但是，由于createProxy使用CREATE而不是CREATE2，因此攻击者能够初始化这些多重签名，从而使它们归攻击者所有。用户通常假设他们可以在以太坊上访问的任何帐户也可以在其他基于EVM的链上访问。对于EOA账户，这通常是正确的。但这不一定适用于智能合约账户。可以使用完全不同的代码在不同链上的相同地址创建合约，从而产生完全不同的所有者。像这样的误解会在现实世界中产生严重的后果。上周，Wintermute接受了2000万个OP代币的贷款，借给他们认为可以在L2上访问的L1多重签名钱包。这个L2地址是攻击者后来部署的多重签名之一。这些是多链世界的成长之痛。很不幸，但它强调了为多链用户设计系统的重要性。CREATE2和确定性部署至关重要，尤其是对于合约钱包。如果你在以太坊上使用多重签名钱包，我强烈建议你花时间了解钱包的安全属性，以及你是否会在以太坊以外的链上控制该钱包。原地址

标签：EATREACREACRETreat DAORealis NetworkCreator PlatformWrapped CrescoFin

DAI热门资讯