2022年7月1日,成都链安链必应-区块链安全态势感知平台舆情监测显示,OPtimism链的Quixotic项目遭受黑客攻击,黑客获利847个BNB。成都链安安全团队对事件进行了分析,结果如下。
事件相关信息
据悉,Quixotic是一个可以使用ERC20代币和NFT进行买卖的平台,本次攻击事件发生后,平台目前所有市场活动都已暂停。
Optimism拟于3月16日执行Bedrock主网升级:金色财经报道,Optimism发起新去中心化Rollup基础架构Bedrock主网升级提案,如果提案投票通过,升级将在北京时间3月16日1:00执行,升级期间存款和交易会暂停,但大多数用户不会受到升级的影响,预计升级持续4个小时,升级后仍然可以访问历史链数据。[2023/2/2 11:42:49]
?攻击者地址
攻击者:
0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5
攻击者合约:
0xbe81eabdbd437cba43e4c1c330c63022772c2520
?攻击交易
0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df
超额抵押稳定币LUSD已上线Optimism:1月30日消息,定投工具Mean Finance已在以太坊二层网络Optimism上线超额抵押稳定币LUSD,用户可使用LUSD基于美元成本平均法(DCA)进行定投操作。[2023/1/30 11:36:11]
0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4
?被攻击合约:
0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6
#攻击过程
1.攻击者先创建NFT攻击合约,如图所示。
Aave已在Goerli、Mumbai、Optimism和Arbritum测试网上部署V3.0.1版本:据官方推特,DeFi协议Aave已在Goerli、Mumbai、Optimism和Arbritum测试网上部署V3.0.1版本,想进行测试项目方和开发人员可在官网链接测试网模式。
此前金色财经报道,Aave团队成员0xGraham.lens称,Aave V3可能会于本周在以太坊主网上推出。[2023/1/19 11:20:20]
2.因为用户将ERC20代币过度授权给了ExchangeV4,并且ExchangeV4合约存在漏洞。导致攻击者利用ExchangeV4合约的fillSellOrder函数进行NFT订单创建通过向用户出售攻击合约中的NFT来转移用户向ExchangeV4合约授权的代币。
DAI代币桥在以太坊二层扩容方案Optimistic启动:官方消息,DAI代币桥在以太坊二层扩容方案Optimistic启动。Ethereum Optimism DAI代币桥是一个快速、去中心化的DAI版本。存款几乎是即时的,但取款需要1周的等待期。 L2 DAI现在与Optimism门户UI集成并通过Optimism上的Uniswap获得支持。[2021/7/20 1:05:16]
3.攻击完成后,攻击者将所盗资产转移至Tornado.Cash。
漏洞分析
本次攻击主要利用了在ExchangeV4合约中创建的NFT订单地址可以被指定,并且在交易中只验证了卖方签名就进行转账,导致用户在有向ExchangeV4进行ERC20代币授权的情况下,攻击者可以创建自己的NFT单方面进行交易,将虚假的NFT转移给用户换出用户向ExchangeV4合约授权的代币。
在fillSellOrder函数中,攻击者可以指定出售的NFT地址,并且在验证中只验证了攻击者的签名,而未验证买方的签名。那么攻击者可以通过验证,并在调用_fillSellOrder函数时,将攻击合约的NFT转移给买方,并执行_sendERC20PaymentsWithRoyalties函数转移买方向合约授权的ERC20代币
资金追踪
截止发文时,攻击者获利约847个BNB,当前攻击者已将所盗资金向Tornado.Cash转移。
总结
针对本次事件,成都链安安全团队建议:
1.在实现签名交易的功能时,需要验证买卖双方的签名。
2.用户需要避免过度授权保证财产安全。
3.项目上线前,建议选择专业的安全审计公司进行全面的安全审计,以规避安全风险。
标签:PTITIMITIMMISOPTI价格Optimism BOBtime币官网下载appAlchemist DeFi Aurum
根据《经济学人》最近进行的一项研究显示,36.6%的受访者希望比特币或其他加密资产合法化,43.5%的受访者对此持中立态度,仅17.9%的受访者表示不同意此举.
1900/1/1 0:00:00金色财经区块链7月7日讯DeFi/CeFi泡沫正在破灭、NFT??热潮正在消退、算法稳定币正在崩盘、加密借贷机构正在破产……然而令人意想不到的是,在本轮熊市中,银行竟然“稳如泰山”,没有受到任何影响.
1900/1/1 0:00:00近期加密资产价格短期内大幅下挫引发了大规模清算和连锁反应。先有CeFi借贷平台Celsius因stETH脱锚面临用户挤兑而暂停提款和转账;再有知名投资机构和做市商3AC被爆出售资产偿债务,至目前仍有至少约6.6亿美元的债务敞口可能构成.
1900/1/1 0:00:00???首先看一下行情,昨天行情再次出现大跌,行情跌一度跌破1万9,以太就更惨啦,直接掉到了1000以下!那么这个地方再次能不能抄底呢?这个问题很关键!???个人认为,这个位置不应当过度看空啦!从情绪来说,目前恐惧和贪婪指数都在低位.
1900/1/1 0:00:00金色财经消息,欧盟政策制定者通过了已讨论近两年之久的加密法案MiCA,该法案要求,加密货币发行人应发布一种称为“白皮书”的技术宣言,以向当局注册,并为稳定币保留适当的银行式储备欧元等主权货币.
1900/1/1 0:00:00杠杆资金是一把双刃剑,推动着周期的钟摆向两端运行。在牛市中,杠杆资金为资产价格的上升提供额外燃料,而在最近的下跌行情中,杠杆资金引发的连环清算与恐慌为加密世界蒙上了一片阴影.
1900/1/1 0:00:00