2000 万 OP 代币被盗关键：交易重放

作者：

时间：1900/1/1 0:00:00

背景

6月9日，Optimism与Wintermute双双发布公告，向社区披露了一起2000万OP代币丢失的事件。Optimism委托了Wintermute来为OP在二级市场上提供流动性服务，同时将向Wintermute提供2000万枚OP代币。为了接收这笔代币，Wintermute给了Optimism一个多签地址，在Optimism测试发送了两笔交易且Wintermute确认无误后，Optimism将2000万OP转移到了该地址。在Optimism转完币之后，Wintermute却发现自己没办法控制这些代币，因为他们所提供的多签地址暂时只部署在了以太坊主网上，尚未向Optimism网络部署。Wintermute立即启动了补救操作，但已有攻击者察觉到了这一漏洞，并抢在Wintermute之前将多签部署到了Optimism网络的该地址之上，成功控制了这2000万代币。那么问题来了，为什么会出现这种漏洞？

Skolem完成2000万美元A轮融资，Galaxy Digital领投:6月8日消息，数据和交易执行服务提供商Skolem完成2000万美元A轮融资，Galaxy Digital领投，Point72 Ventures、Jump Crypto、Fenwick、West、Morpheus Ventures和Dragonfly Capital参投，所筹资金将用于招聘和提高公司的技术能力，以进一步实现帮助机构访问DeFi。

注：Skolem旨在为希望进入DeFi市场的机构投资者提供一个安全可靠的入口。（The Block）[2022/6/9 4:11:45]

前置知识

首先需要确定交易签名是否符合标准，符合标准的签名会对9个RLP编码元素(nonce,gasprice,gas,to,value,data,chainid,0,0)进行哈希，其中包含了chainid，因此符合标准的签名v值就为{0,1}+chainid*2+35。而对不符合标准的签名，其只对6个元素进行哈希(nonce,gasprice,gas,to,value,data)，因此签名后v值为{0,1}+27。而不同的链会定义有不同的chainid，不同的chainid会得到不同的v值。根据ECDSA我们知道在v值不同的情况下，就算r与s值相同，签名所还原出的公钥也是不同的。因此对于符合标准的交易是无法在其他链上成功进行重放的。

Bella基金会推出2000万美元的Bella生态系统基金:10月12日消息，据Bella联合创始人兼首席执行官Felix Xu撰写的文章，Bella基金会正在推出Bella生态系统基金，Bella Eco Fund将专注于投资有潜力的创新项目，主要是DeFi、NFT和Web 3.0基础设施项目。根据项目和实际需要，投资规模通常在100,000美元到500,000美元之间。这些项目将与Bella Protocol和其他投资组合项目在产品集成、社区和流动性方面合作，产生协同效应。（Cointelegraph）[2021/10/12 20:22:25]

值得一提的是在以太坊伦敦升级时实施的引入了新的交易格式0x02||RLP()，chainid是单独编码的，而不包含在签名v值中了，签名v值只是作为一个简单的奇偶校验位，因此当前交易签名得到的v值变为0或1。

动态 | Stellar平台活跃用户超200万达2018年初十倍以上:据cryptodaily消息，Stellar Network数据显示，Stellar平台上现有超过200万个活跃账户，是2018年初的十倍以上。[2018/12/3]

交易重放

在我们了解完以上交易签名构造后我们就可以很清晰的知道签名v值为27或28是可以在不同链上被重放的。那么该如何在不同链上进行重放呢？这与我们发送交易并无不同，只需要将原始交易内容再其他链上进行发送即可。

以Wintermute2000万个OP代币被窃取事件为例，攻击者在此次事件中重放了GnosisSafe部署Factory合约的交易。我们在这里尝试重放GnosisSafeDeployer3的nonce为3的交易。

动态 | 区块链公司Algorand获6200万美元的风险投资:据coincryptorama消息，由麻省理工学院教授、图灵奖获得者Silvio Micali创立的区块链公司Algorand今天宣布，已从Union Square Ventures、支柱公司以及包括英国在内的投资者手中获得6,200万美元的风险投资。其中，这些投资者中有Eterna Capital、中国招商银行等。[2018/10/24]

一种较为简单的方法是先通过Etherscan获取原始交易：