2022年7月1日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,OPtimism鏈的Quixotic項目遭受黑客攻擊,黑客獲利847個BNB。成都鏈安安全團隊對事件進行了分析,結果如下。
事件相關信息
據悉,Quixotic是一個可以使用ERC20代幣和NFT進行買賣的平臺,本次攻擊事件發生后,平臺目前所有市場活動都已暫停。
Polymer Labs推出Optimistic ZK IBC Connections,可降低延遲與成本:6月16日消息,專注于IBC協議的基礎設施提供商Polymer Labs推出Optimistic ZK IBC Connections。該模型受到OSI模型啟發,包含應用層、傳輸層與狀態層。結合Optimistic與零知識證明驗證兩種技術可以提供具有理想特性的動態延遲:延遲的上限;當中繼者受到適當激勵時,可能會降低延遲;降低連接維護成本。[2023/6/16 21:42:32]
?攻擊者地址
攻擊者:
0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5
Optimism已啟動第二輪治理提案投票:6月24日消息,以太坊 Layer 2 網絡 Optimism 已于北京時間今日 3:00 啟動第二輪治理提案投票,投票將持續至北京時間 7 月 7 日 3:00。本輪被批準就 OP 代幣分配進行投票的項目包括了 ParaSwap、Optimistic Railway、dForce、GYSR、Mean Finance、Raptor、Balancer 與 BeethovenX、Summa、WardenSwap、Pickle Financ。此外,Ooki Protocol、Infinity Wallet、Beefy、0xHabitat、Thales 也已提交提案但目前未獲得明確批準。
此前結束的第一輪治理提案投票中,共有 25 個項目的提案獲得了通過,總計將向這 25 個項目分配 3600 萬枚 OP 代幣。[2022/6/24 1:28:46]
攻擊者合約:
無抵押借貸協議TrueFi在Optimism上推出:6月8日消息,無抵押借貸協議TrueFi在以太坊第二層擴展解決方案Optimism上推出。TrustToken聯合創始Rafael Cosman表示,TrueFi用戶現在可以在Optimism進行借貸并推出投資組合,以享受大幅降低的交易成本和更快的網絡速度。(Cointelegraph)[2022/6/8 4:10:28]
0xbe81eabdbd437cba43e4c1c330c63022772c2520
?攻擊交易
0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df
以太坊Optimistic Rollup擴容方案Fuel 1.0版上線主網:1月1日,Fuel Labs官方宣布其基于Optimistic Rollup概念的以太坊 Layer 2 擴容方案 Fuel 1.0 版本已正式上線以太坊主網。Fuel基于UTXO模型,目前的1.0版本最多可以支持接近500 TPS (每秒交易數)的速度。Fuel Labs 表示,該版本僅推出了命令行界面,為開發者服務,未來幾周和幾個月將推出用戶界面錢包和其他集成。[2021/1/1 16:12:39]
0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4
?被攻擊合約:
0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6
#攻擊過程
1.攻擊者先創建NFT攻擊合約,如圖所示。
2.因為用戶將ERC20代幣過度授權給了ExchangeV4,并且ExchangeV4合約存在漏洞。導致攻擊者利用ExchangeV4合約的fillSellOrder函數進行NFT訂單創建通過向用戶出售攻擊合約中的NFT來轉移用戶向ExchangeV4合約授權的代幣。
3.攻擊完成后,攻擊者將所盜資產轉移至Tornado.Cash。
漏洞分析
本次攻擊主要利用了在ExchangeV4合約中創建的NFT訂單地址可以被指定,并且在交易中只驗證了賣方簽名就進行轉賬,導致用戶在有向ExchangeV4進行ERC20代幣授權的情況下,攻擊者可以創建自己的NFT單方面進行交易,將虛假的NFT轉移給用戶換出用戶向ExchangeV4合約授權的代幣。
在fillSellOrder函數中,攻擊者可以指定出售的NFT地址,并且在驗證中只驗證了攻擊者的簽名,而未驗證買方的簽名。那么攻擊者可以通過驗證,并在調用_fillSellOrder函數時,將攻擊合約的NFT轉移給買方,并執行_sendERC20PaymentsWithRoyalties函數轉移買方向合約授權的ERC20代幣
資金追蹤
截止發文時,攻擊者獲利約847個BNB,當前攻擊者已將所盜資金向Tornado.Cash轉移。
總結
針對本次事件,成都鏈安安全團隊建議:
1.在實現簽名交易的功能時,需要驗證買賣雙方的簽名。
2.用戶需要避免過度授權保證財產安全。
3.項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,以規避安全風險。
昨日,YamFinance成功阻止了針對其儲備資金庫的治理攻擊。在這次攻擊中,攻擊者掩人耳目地通過內部交易提交治理提案,該惡意治理提案包括一個未經驗證的合約,最終目的是將Yam的協議資金儲備轉移.
1900/1/1 0:00:00本文要點 Filecoin在2022年第二季度發展得十分強勁,活躍存儲交易環比增長128%,網絡存儲容量環比增長7%.
1900/1/1 0:00:00金色數藏聯合元気星空,攜手知名星座娛樂頭部IP同道大叔,推出同道大叔十二星座夏日限定《嘻哈一夏》數字藏品,7月8日將正式上線平臺進行公開發售.
1900/1/1 0:00:006月10日,Twitter的聯合創始人杰克·多爾西的子公司TBD宣布推出Web5平臺。TBD通過16頁PPT闡釋了Web5的概念定義、關鍵內容和實現路徑.
1900/1/1 0:00:00原文作者:DinoEggs.eth,由DeFi之道翻譯編輯。第1層。第2層。側鏈。Rollup。Web3充滿了行話,所以讓我們首先設置舞臺并提供一種簡單的方式來思考這個領域.
1900/1/1 0:00:00原文標題:《Nansen復盤加密巨頭自救:如何阻止百億多米諾傾塌》 原文來源:Nansen 原文編譯:Katie辜,Odaily星球日報隨著前陣時間stETH脫錨事件的進一步發展.
1900/1/1 0:00:00