比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > XRP > Info

2000萬OP被盜事件安全啟示:多簽錢包使用者需警惕哪些風險?_EAT

Author:

Time:1900/1/1 0:00:00

6月9日,Optimism在社交媒體上公布,由于與加密貨幣做市商Wintermute合作過程中的溝通與技術失誤,目前已有2000萬枚OP被黑客控制。起初,由Optimism基金會向Wintermute發送2000萬枚OP用于做市,而后Wintermute發現其提供的接收地址是Layer1地址,在Wintermute將其轉向Layer2前,攻擊者已搶先使用不同的初始化參數將其部署。截至目前,黑客已拋售約100萬枚被盜OP。對此事件,以太坊開發者KelvinFichter解釋了漏洞被攻擊的原因,他表示,智能合約賬戶與EOA不同,普通EOA用戶可以訪問任意EVM鏈的賬戶,但智能合約賬戶不能。以下文字整理于KelvinFichter在社交媒體的發言。需要說明,此事件不是Optimism或GnosisSafe中任何漏洞的結果,而是源于在舊版本的GnosisSafe中做出的安全假設。舊版本的GnosisSafe工廠合約是通過沒有鏈ID的交易部署的。這意味著可以在以太坊以外的鏈上重置這些交易。在某些方面,這真的很有用。這意味著可以將同一工廠部署到每條鏈上同一地址上。正如現在工廠被部署到Optimism。不幸的是,在使用這個較舊的工廠合約時,GnosisSafeUI有時會使用createProxy函數,該函數通過CREATE而不是CREATE2創建多重簽名。與CREATE2不同,通過CREATE創建的合約地址不是基于用于創建合約的代碼,而僅基于創建者地址的nonce。這意味著攻擊者可以將舊的Safe工廠部署到Optimism并開始重新觸發createProxy函數以在L2上創建多重簽名。

某鯨魚向幣安轉入4200枚MKR,此前以750 USDT均價購買:7月22日消息,據The Data Nerd監測,某鯨魚向幣安轉入4200枚MKR,此前以750 USDT均價購買。[2023/7/22 15:52:30]

穩定幣兌換平臺Nerve Finance完成200萬美元融資:據官方消息,穩定幣兌換平臺Nerve Finance已經完成了由三箭資本(Three Arrows Capital)、CMS Holdings和Alameda Research牽頭的200萬美元融資,參投的還有Immutable Capital和Primitive Ventures。[2021/4/12 20:09:02]

但是,由于createProxy使用CREATE而不是CREATE2,因此攻擊者能夠初始化這些多重簽名,從而使它們歸攻擊者所有。用戶通常假設他們可以在以太坊上訪問的任何帳戶也可以在其他基于EVM的鏈上訪問。對于EOA賬戶,這通常是正確的。但這不一定適用于智能合約賬戶。可以使用完全不同的代碼在不同鏈上的相同地址創建合約,從而產生完全不同的所有者。像這樣的誤解會在現實世界中產生嚴重的后果。上周,Wintermute接受了2000萬個OP代幣的貸款,借給他們認為可以在L2上訪問的L1多重簽名錢包。這個L2地址是攻擊者后來部署的多重簽名之一。這些是多鏈世界的成長之痛。很不幸,但它強調了為多鏈用戶設計系統的重要性。CREATE2和確定性部署至關重要,尤其是對于合約錢包。如果你在以太坊上使用多重簽名錢包,我強烈建議你花時間了解錢包的安全屬性,以及你是否會在以太坊以外的鏈上控制該錢包。原地址

行情 | BTC觸及5200美元:據Huobi數據顯示,BTC剛剛短時觸及5200美元,現回落至5169.39美元,24小時漲幅為4.18%,行情波動較大,請做好風險控制。[2019/4/4]

Tags:REACRECREAEATCreaticlesCreativecoinBlock CreaturesSWEAT價格

XRP
NFT數據日報 | goblintown.wtf在過去24小時內最受巨鯨歡迎(5.26)_ETH

NFT數據日報是由Odaily星球日報與NFT數據整合平臺NFTGO.io合作的一檔欄目,旨在向NFT愛好者與投資者展示近24小時的NFT市場整體規模、交易活躍度、子領域市占比.

1900/1/1 0:00:00
宏觀分析弱鏈游戲和強鏈游戲的優與劣_LYO

本文來源:老雅痞游戲行業正在慢慢地被區塊鏈技術喚醒。它將極大地改變游戲格局,使游戲玩家受益。每個節點都必須驗證用戶在區塊鏈上發送給網絡的每個計算的有效性.

1900/1/1 0:00:00
Terra崩盤后續:Hashed遭受重創,LFG「不打算」使用AVAX儲備_Terra

Terra生態系統崩潰繼續呈現余波,位于美國的收益生成應用Stablegains因該事件遭受損失而面臨潛在的法律訴訟.

1900/1/1 0:00:00
Rollup的下一步:如何實現去中心化定序器?_CAR

中心化定序器是當前rollup普遍采用的方式,并且大多數項目計劃在未來實現去中心化的定序器。由于存在多個適合不同結果的選擇,因此并沒有所謂正確的去中心化方式.

1900/1/1 0:00:00
埋伏Arbitrum空投的基本策略和交互目標_ARB

Layer2將在未來數月內看到大量項目和用戶涌入。幾周前,Optimism宣布了空投的細節。zkSync在官網上確認了他們的代幣。我們已經見證了四大Layer2中的兩個發行代幣.

1900/1/1 0:00:00
Scalar Capital創始人:從DAO實踐中學到的關鍵知識和經驗_COI

去中心化自治組織(DAO)是圍繞特定任務組織起來的團體,該團體通過在區塊鏈上實施強制執行的共享規則進行協作。DAO本身只是控制共享經濟資源或協議規則的組織結構,每個DAO的運作方式可能不同.

1900/1/1 0:00:00
ads