買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > SHIB > Info

OPTI:OPtimism鏈的Quixotic項目遭受黑客事件分析_OptimusCat

Author:

Time:1900/1/1 0:00:00

2022年7月1日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,OPtimism鏈的Quixotic項目遭受黑客攻擊,黑客獲利847個BNB。成都鏈安安全團隊對事件進行了分析,結果如下。

據悉,Quixotic 是一個可以使用ERC20代幣和NFT進行買賣的平臺,本次攻擊事件發生后,平臺目前所有市場活動都已暫停。

數據:Optimism鏈上Worldcoin錢包總量突破85萬個:金色財經報道,據Dune Analytics數據顯示,Optimism鏈上Worldcoin錢包總量已突破85萬個,本文撰寫時達到857,821個(注:該數字不包括用戶尚未遷移到Optimism鏈上的預發布錢包),其中持有WLD代幣的Optimism錢包數量為142,739個。[2023/7/25 15:57:01]

?攻擊者地址

攻擊者:

0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5

攻擊者合約:

Uniswap社區提出的在Optimism上Uniswap部署0.01%費用的流動性池提案已啟動投票:金色財經消息,Uniswap社區提出的在Optimism上Uniswap部署0.01%費用的流動性池提案已啟動投票。當前Optimism上Uniswap最低交易手續費為0.05%,該提案建議建立交易費用為0.01%的流動性池以提高競爭力。該提案已于今日11:05開始投票,并將于北京時間7月1日11:00截止。[2022/6/26 1:32:05]

0xbe81eabdbd437cba43e4c1c330c63022772c2520

?攻擊交易

Chainlink上線Optimism網絡,已被Synthetix集成:9月2日消息,去中心化預言機Chainlink宣布已正式上線以太坊擴容網絡Optimism Ethereum,為該網絡提供各類市場和價格數據。

Chainlink表示,Synthetix已經在Optimism Ethereum中整合了Chainlink價格數據,實現低延遲和低成本的預言機數據更新,該集成支持Kwenta上的合成資產交易、Lyra上的期權交易和Thales期權協議。[2021/9/2 22:55:46]

0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df

OptionRoom與DeFi保險平臺Bridge Mutual達成合作:波卡生態預言機和預測協議OptionRoom宣布與DeFi保險平臺Bridge Mutual達成合作。Bridge Mutual和OptionRoom將通過提供公正的預言機OaaS來檢查被拒絕的索賠,以此支持上訴過程,這使那些認為自己的索賠被不公平拒絕的投保人有機會通過建立額外的信任層,以最公平的方式在Bridge Mutual上尋求保險。[2021/2/25 17:51:27]

0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4

?被攻擊合約:

0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6

1. 攻擊者先創建NFT攻擊合約,如圖所示。

2.因為用戶將ERC20代幣過度授權給了ExchangeV4(被攻擊合約),并且ExchangeV4合約存在漏洞。導致攻擊者利用ExchangeV4合約的fillSellOrder函數進行NFT訂單創建通過向用戶出售攻擊合約中的NFT來轉移用戶向ExchangeV4合約授權的代幣。

3.攻擊完成后,攻擊者將所盜資產轉移至Tornado.Cash。

本次攻擊主要利用了在ExchangeV4合約中創建的NFT訂單地址可以被指定,并且在交易中只驗證了賣方簽名就進行轉賬,導致用戶在有向ExchangeV4進行ERC20代幣授權的情況下,攻擊者可以創建自己的NFT單方面進行交易,將虛假的NFT轉移給用戶換出用戶向ExchangeV4合約授權的代幣。

在fillSellOrder函數中,攻擊者可以指定出售的NFT地址,并且在驗證中只驗證了攻擊者的簽名,而未驗證買方的簽名。那么攻擊者可以通過驗證,并在調用_fillSellOrder函數時,將攻擊合約的NFT轉移給買方,并執行_sendERC20PaymentsWithRoyalties函數轉移買方向合約授權的ERC20代幣

截止發文時,攻擊者獲利約847個BNB,當前攻擊者已將所盜資金向Tornado.Cash轉移。

針對本次事件,成都鏈安安全團隊建議:

1.在實現簽名交易的功能時,需要驗證買賣雙方的簽名。

2.用戶需要避免過度授權保證財產安全。

3.項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,以規避安全風險。

Tags:OPTIPTIOPTMISOptimusCatCatgirl OptimusopticalnetworkOptimism BOB

SHIB
PUB:黨史紀實主題公益數字文創產品正式上線_TRUBGR價格

中國共產黨的歷史, 是一部黨領導人民艱苦卓絕的奮斗史,也是一部充滿魅力和傳奇的歷史,就像一幅幅蕩氣回腸的畫卷, 一曲曲震撼人心的戰歌, 具有巨大的教育價值.

1900/1/1 0:00:00
元宇宙:元宇宙社交 一場烏托邦式的幻想?_ETA

作者:丸都山 從聯合樂華創立虛擬女團A-Soul,到大手筆收購Pico,再到高調推出游戲平臺朝夕光年,字節跳動在元宇宙的野心早已路人皆知.

1900/1/1 0:00:00
COIN:以太坊成功推遲難度炸彈 合并的“攔路虎”還有這些_Wrapped Centrifuge

注:上周,以太坊成功完成了灰色冰川(Gray Glacier)硬分叉升級,將難度炸彈推遲了大約 100 天的時間,而對于以太坊接下來的合并.

1900/1/1 0:00:00
LAYER:L1 和 L2 的思維模式差異 誰能長盛不衰?_TROLLBNB幣

本文作者:Patrick McCorry 加密貨幣正在引領一場數據庫技術的范式轉移加密貨幣的基石就是數據庫。它記錄著所有用戶賬戶的余額、智能合約的代碼和狀態.

1900/1/1 0:00:00
APT:Facebook系公鏈 Aptos 發展得怎么樣了?一文盤點 Aptos 生態_BAPTOS幣

公鏈項目 Aptos 于 7 月 12 日開啟了激勵測試網 2,距離激勵測試網 1 僅過去幾個星期,激勵測試網 2 的官方統計數據還沒有出來.

1900/1/1 0:00:00
加密貨幣:金色早報 | 加密貨幣被越來越多地用于支付工資_閃電比特幣還在嗎

▌ 歐洲央行稱必須“盡快”實施穩定幣規則金色財經報道,歐洲央行表示,在穩定幣對金融穩定構成風險之前,必須緊迫地對其加強監管.

1900/1/1 0:00:00
ads