2000萬OP被盜事件安全啟示：多簽錢包使用者需警惕哪些風險？_EAT

6月9日，Optimism在社交媒體上公布，由于與加密貨幣做市商Wintermute合作過程中的溝通與技術失誤，目前已有2000萬枚OP被黑客控制。起初，由Optimism基金會向Wintermute發送2000萬枚OP用于做市，而后Wintermute發現其提供的接收地址是Layer1地址，在Wintermute將其轉向Layer2前，攻擊者已搶先使用不同的初始化參數將其部署。截至目前，黑客已拋售約100萬枚被盜OP。

對此事件，以太坊開發者KelvinFichter解釋了漏洞被攻擊的原因，他表示，智能合約賬戶與EOA不同，普通EOA用戶可以訪問任意EVM鏈的賬戶，但智能合約賬戶不能。以下文字整理于KelvinFichter在社交媒體的發言。

以太坊域名服務ENS交易總額突破10萬枚ETH:10月7日消息，據NFTGo.io數據顯示，以太坊域名服務ENS交易總額已突破10萬枚ETH，截止目前為10.394萬枚ETH，約合1.8602億美元。當前ENS地板價跌至0.0007ETH，24小時跌幅1.33%，市值約為9554萬美元。[2022/10/7 18:42:01]

需要說明，此事件不是Optimism或GnosisSafe中任何漏洞的結果，而是源于在舊版本的GnosisSafe中做出的安全假設。

Capriole Investment創始人：比特幣哈希帶指標顯示礦工投降已結束:8月21日消息，據Capriole Investment創始人Charles Edwards在社交媒體上披露的比特幣算力波動統計數據顯示，礦工悲觀情緒可能觸及頂峰，這意味著所謂的礦工投降已經結束。CharlesEdwards分享了比特幣礦工情緒指標哈希帶（HashRibbon），數據顯示該指標下跌時間維持了71天，創下歷史第三長的礦工投降記錄，比2021年持續時間更長，僅比2018年價格觸底時短了2天。

哈希帶指標于2019年構建，基于比特幣的30天和60天移動平均線(MA)凈哈希率之間的相關性設計，當30日均線跌破60日均線時表示礦工投降；當30日均線高于60日均線且價格上漲時，就表示安全的看漲信號已出現。[2022/8/21 12:38:04]

舊版本的GnosisSafe工廠合約是通過沒有鏈ID的交易部署的。這意味著可以在以太坊以外的鏈上重置這些交易。在某些方面，這真的很有用。這意味著可以將同一工廠部署到每條鏈上同一地址上。正如現在工廠被部署到Optimism。

加密錢包Swype支持DAO通過Gnosis Safe錢包連接銀行賬戶:7月29日消息，加密貨幣非托管錢包Swype發推稱，已支持DAO通過Gnosis Safe錢包連接聯邦存款保險公司（FDIC）保護的銀行賬戶，并支持通過附加到DAO的多簽錢包的虛擬銀行賬戶進行電匯或ACH付款。DAO還可以為成員創建借記卡，并對他們進行支出限制或類別限制。當出現新的付款申請時，每個DAO成員都會收到推送到其Swype錢包的通知。[2022/7/29 2:45:49]

不幸的是，在使用這個較舊的工廠合約時，GnosisSafeUI有時會使用createProxy函數，該函數通過CREATE而不是CREATE2創建多重簽名。與CREATE2不同，通過CREATE創建的合約地址不是基于用于創建合約的代碼，而僅基于創建者地址的nonce。這意味著攻擊者可以將舊的Safe工廠部署到Optimism并開始重新觸發createProxy函數以在L2上創建多重簽名。

但是，由于createProxy使用CREATE而不是CREATE2，因此攻擊者能夠初始化這些多重簽名，從而使它們歸攻擊者所有。

用戶通常假設他們可以在以太坊上訪問的任何帳戶也可以在其他基于EVM的鏈上訪問。對于EOA賬戶，這通常是正確的。但這不一定適用于智能合約賬戶。可以使用完全不同的代碼在不同鏈上的相同地址創建合約，從而產生完全不同的所有者。

像這樣的誤解會在現實世界中產生嚴重的后果。上周，Wintermute接受了2000萬個OP代幣的貸款，借給他們認為可以在L2上訪問的L1多重簽名錢包。這個L2地址是攻擊者后來部署的多重簽名之一。

這些是多鏈世界的成長之痛。很不幸，但它強調了為多鏈用戶設計系統的重要性。CREATE2和確定性部署至關重要，尤其是對于合約錢包。

如果你在以太坊上使用多重簽名錢包，我強烈建議你花時間了解錢包的安全屬性，以及你是否會在以太坊以外的鏈上控制該錢包。

來源：金色財經

Tags：REAEATCREACRE28 VOUCHER KOREAVEATHENA價格cream幣怎么樣decred幣創始合伙人

火必交易所