買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > FTX > Info

IMI:OPtimism鏈的Quixotic項目遭受黑客事件分析_TIM

Author:

Time:1900/1/1 0:00:00

2022年7月1日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,OPtimism鏈的Quixotic項目遭受黑客攻擊,黑客獲利847個BNB。成都鏈安安全團隊對事件進行了分析,結果如下。

事件相關信息

據悉,Quixotic是一個可以使用ERC20代幣和NFT進行買賣的平臺,本次攻擊事件發生后,平臺目前所有市場活動都已暫停。

數據:Optimism鏈上Worldcoin錢包總量突破85萬個:金色財經報道,據Dune Analytics數據顯示,Optimism鏈上Worldcoin錢包總量已突破85萬個,本文撰寫時達到857,821個(注:該數字不包括用戶尚未遷移到Optimism鏈上的預發布錢包),其中持有WLD代幣的Optimism錢包數量為142,739個。[2023/7/25 15:57:01]

?攻擊者地址

攻擊者:

0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5

攻擊者合約:

0xbe81eabdbd437cba43e4c1c330c63022772c2520

Optimism擬于3月16日執行Bedrock主網升級:金色財經報道,Optimism發起新去中心化Rollup基礎架構Bedrock主網升級提案,如果提案投票通過,升級將在北京時間3月16日1:00執行,升級期間存款和交易會暫停,但大多數用戶不會受到升級的影響,預計升級持續4個小時,升級后仍然可以訪問歷史鏈數據。[2023/2/2 11:42:49]

?攻擊交易

0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df

0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4

Optimism上TVL突破5.5億美元,創歷史新高:金色財經消息,據Defi Llama數據顯示,Optimism上TVL突破5.5億美元,當前TVL約為5.53億美元,創歷史新高。前三位的協議分別為Synthetix(1.92億美元、約占35%)、Velodrome(1.154億美元,約占21%)、Uniswap(0.47億美元,約占8.6%)。[2022/7/29 2:45:44]

?被攻擊合約:

0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6

#攻擊過程

1.攻擊者先創建NFT攻擊合約,如圖所示。

ACCOINTING推出交易稅優化器Trading Tax Optimizer:12月24日消息,ACCOINTING宣布推出交易稅優化器Trading Tax Optimizer,用戶只需通過API或錢包地址連接至錢包和交易所,選擇納稅方式,定義想要使用的稅庫類型,最后使用時間軸預覽未來產生的應稅收益,達到優化人們稅收的目的。(globenewswire)[2021/12/24 8:01:19]

2.因為用戶將ERC20代幣過度授權給了ExchangeV4,并且ExchangeV4合約存在漏洞。導致攻擊者利用ExchangeV4合約的fillSellOrder函數進行NFT訂單創建通過向用戶出售攻擊合約中的NFT來轉移用戶向ExchangeV4合約授權的代幣。

3.攻擊完成后,攻擊者將所盜資產轉移至Tornado.Cash。

漏洞分析

本次攻擊主要利用了在ExchangeV4合約中創建的NFT訂單地址可以被指定,并且在交易中只驗證了賣方簽名就進行轉賬,導致用戶在有向ExchangeV4進行ERC20代幣授權的情況下,攻擊者可以創建自己的NFT單方面進行交易,將虛假的NFT轉移給用戶換出用戶向ExchangeV4合約授權的代幣。

在fillSellOrder函數中,攻擊者可以指定出售的NFT地址,并且在驗證中只驗證了攻擊者的簽名,而未驗證買方的簽名。那么攻擊者可以通過驗證,并在調用_fillSellOrder函數時,將攻擊合約的NFT轉移給買方,并執行_sendERC20PaymentsWithRoyalties函數轉移買方向合約授權的ERC20代幣

資金追蹤

截止發文時,攻擊者獲利約847個BNB,當前攻擊者已將所盜資金向Tornado.Cash轉移。

總結

針對本次事件,成都鏈安安全團隊建議:

1.在實現簽名交易的功能時,需要驗證買賣雙方的簽名。

2.用戶需要避免過度授權保證財產安全。

3.項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,以規避安全風險。

Tags:TIMTIMIOPTIMIOptimus AIOptimism BOBoptimus幣總量IMI幣

FTX
ART:金色觀察 | NFT流動性分析:問題與解決方案_NFTY幣

最近的清算浪潮引發了加密市場風險蔓延的恐懼,從三箭資本蔓延到了像Celsius網絡、Babel金融、BlockFi和Voyager?Digital這樣的加密貸方.

1900/1/1 0:00:00
比特幣:如何構建加密銀行系統?_穩定幣

這篇文章探討在DeFi上構建金融系統所需的基礎。盡管DeFi領域有諸多創新,它們中的大部分都是在重復投機。我們今天討論構建有效金融體系所需的必要部件,能為實體經濟提供資金.

1900/1/1 0:00:00
FAT:FATF 最新報告解讀:哪些領域將成為下半年的監管關注重點?_FATCAKE

6月30日,全球反洗錢和打擊資助恐怖主義措施的標準制定者——金融行動特別工作組發布了一份關于其加密資產指南的應用情況報告.

1900/1/1 0:00:00
ROLL:為什么 L2、 Rollup 很重要?_TROLLER幣

原文作者:DinoEggs.eth,由DeFi之道翻譯編輯。第1層。第2層。側鏈。Rollup。Web3充滿了行話,所以讓我們首先設置舞臺并提供一種簡單的方式來思考這個領域.

1900/1/1 0:00:00
以太坊:回顧性分析:第 1 層鏈旋轉理論_TVL

牛市優化敘事,熊市優化基本面。雖然這種說法過于籠統,但它可以作為參與者在不同市場環境下應該如何思考和反應的基本邏輯.

1900/1/1 0:00:00
ETH2.0:從PoW邁向PoS的征途

PoW、PoS和女巫攻擊 ETH作為當今加密生態的頭部公鏈,其擁有最為繁榮的生態系統和最大的TVL。因此,ETH2.0的升級計劃也理所當然的成為當下加密世界最受關注的熱點之一.

1900/1/1 0:00:00
ads