2022年7月1日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,OPtimism鏈的Quixotic項目遭受黑客攻擊,黑客獲利847個BNB。成都鏈安安全團隊對事件進行了分析,結果如下。
據悉,Quixotic 是一個可以使用ERC20代幣和NFT進行買賣的平臺,本次攻擊事件發生后,平臺目前所有市場活動都已暫停。
數據:StarkNet橋接用戶量突破30萬,逼近Optimism:金色財經報道,據Dune Analytics最新數據顯示,以太坊Layer 2網絡StarkNet橋接用戶量已突破30萬,本文撰寫時達到305,628個,橋接存儲總價值為37,805 ETH,按照當前價格計算約合7000萬美元。此外,StarkNet橋接用戶量正逼近Optimism,后者該指標的當前值為317,374個。[2023/4/9 13:53:37]
?攻擊者地址
攻擊者:
0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5
OptimismGoerliTestnet已升級成功,主網升級提案將于2月15日開始投票:金色財經報道,據官方推特,Optimism宣布OptimismGoerliTestnet已成功升級,Optimism主網的升級提案已發送至TokenHouse以供批準,投票將于2月15日開始。如果批準成功通過,Optimism主網t將在接下來的幾周內遷移到Bedrock。[2023/2/4 11:46:50]
攻擊者合約:
0xbe81eabdbd437cba43e4c1c330c63022772c2520
?攻擊交易
Curve下一步將支持Arbitrum、Optimism等鏈:金色財經報道,Curve Finance官方表示,curve.exchange現已支持以太坊、Avalanche、Gnosis和Polygon鏈,下一步將支持Arbitrum、Optimism、Fantom、Moonbeam和Aurora鏈。[2022/9/1 13:02:55]
0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df
0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4
跨鏈聚合協議OpenOcean已部署至Optimism:5月5日消息,跨鏈聚合協議OpenOcean宣布已部署至Optimism,支持的DEX包括Uniswap V3、Curve、Clipper、Synapse和ZipSwap。[2022/5/5 2:51:27]
?被攻擊合約:
0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6
1. 攻擊者先創建NFT攻擊合約,如圖所示。
2.因為用戶將ERC20代幣過度授權給了ExchangeV4(被攻擊合約),并且ExchangeV4合約存在漏洞。導致攻擊者利用ExchangeV4合約的fillSellOrder函數進行NFT訂單創建通過向用戶出售攻擊合約中的NFT來轉移用戶向ExchangeV4合約授權的代幣。
3.攻擊完成后,攻擊者將所盜資產轉移至Tornado.Cash。
本次攻擊主要利用了在ExchangeV4合約中創建的NFT訂單地址可以被指定,并且在交易中只驗證了賣方簽名就進行轉賬,導致用戶在有向ExchangeV4進行ERC20代幣授權的情況下,攻擊者可以創建自己的NFT單方面進行交易,將虛假的NFT轉移給用戶換出用戶向ExchangeV4合約授權的代幣。
在fillSellOrder函數中,攻擊者可以指定出售的NFT地址,并且在驗證中只驗證了攻擊者的簽名,而未驗證買方的簽名。那么攻擊者可以通過驗證,并在調用_fillSellOrder函數時,將攻擊合約的NFT轉移給買方,并執行_sendERC20PaymentsWithRoyalties函數轉移買方向合約授權的ERC20代幣
截止發文時,攻擊者獲利約847個BNB,當前攻擊者已將所盜資金向Tornado.Cash轉移。
針對本次事件,成都鏈安安全團隊建議:
1.在實現簽名交易的功能時,需要驗證買賣雙方的簽名。
2.用戶需要避免過度授權保證財產安全。
3.項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,以規避安全風險。
數字藏品打響平臺“保衛戰”,藏品遇流動性滯緩危機,二級市場去泡沫明顯,用戶流失嚴重。而監管收縮也讓數字藏品市場成為了刀尖上喋血的游戲.
1900/1/1 0:00:00發現一件很奇怪的事情。 整個市場歷經了公鏈、DeFi、BTC突破6.9K、NFT幾次浩浩蕩蕩的行情以后,反倒是Filcion在國內散戶中表現出了獨一檔的影響力.
1900/1/1 0:00:00原文作者:Jessie 原文編輯:penny 原文來源:海外獨角獸團隊 如果說上一個牛市最后的敘事是公鏈,那么在本輪牛市最后的謝幕表演中.
1900/1/1 0:00:00原文源自:Dragonfly Research:《DeFi’s (non)Progress This Cycle》作者:Celia Wan 編譯:金色財經 當人們開始質疑他們在牛市期.
1900/1/1 0:00:007月14日,華為、騰訊、阿里巴巴、微軟、谷歌、亞馬遜等全球500+頂流的互聯網科技企業的CEO、Co-Funder、SVP、CTO、CFO等高層管理人員以及OKX、BitMex、Paradigm.
1900/1/1 0:00:00譯者語 “不存在什么財產,不存在什么支配,也沒有我的和你的之分;每個人能得到的就是他的,只要他能保得住.
1900/1/1 0:00:00