2022年7月1日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,OPtimism鏈的Quixotic項目遭受黑客攻擊,黑客獲利847個BNB。成都鏈安安全團隊對事件進行了分析,結果如下。
據悉,Quixotic 是一個可以使用ERC20代幣和NFT進行買賣的平臺,本次攻擊事件發生后,平臺目前所有市場活動都已暫停。
Tornado Cash分叉混幣應用Primacy Poolsv0現已上線Optimism:金色財經報道,據Tornado Cash早期貢獻者Ameen Soleimani發推稱,Tornado Cash分叉混幣應用Primacy Poolsv0現已上線Optimism,并表示這是實驗代碼,尚未經過審計,受信任設置上不受信任的。MolochDAO正計劃為此后的開發提供后續資助。
此前報道,Ameen Soleimani與另一位開發者創建Primacy Pools,允許用戶匿名發送與接收以太坊,并新增功能允許用戶公開證明自己不是朝鮮人或其他類型罪犯。[2023/3/6 12:44:11]
?攻擊者地址
Optimism:OVM 2.0 版本上線以太坊主網的時間推遲兩周:10月22日消息,以太坊擴容方案Optimism在推特上表示,為了在主網上線前針對可能出現的問題進行更多的測試,OVM(Optimism虛擬機)2.0版本上線以太坊主網的時間將推遲兩周,于北京時間11月12日1:00上線。
此前報道,Optimism宣布其OVM的2.0版本于10月28日部署至以太網主網,屆時可能有4至6小時的停機時間。[2021/10/22 20:48:08]
攻擊者:
0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5
美元穩定幣 DAI 合約已部署至以太坊擴容方案 Optimism:MakerDAO 智能合約工程師 Brian McMichael 在推特上表示,以太坊擴容方案 Optimism 的 Layer 2 橋已部署至 MakerDAO 主網并進行最后的測試,美元穩定幣 DAI 的合約已部署至 Optimism。[2021/7/9 0:39:34]
攻擊者合約:
0xbe81eabdbd437cba43e4c1c330c63022772c2520
?攻擊交易
0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df
YouTube頻道TopTenz借Coinbase首席執行官名義進行詐騙:YouTube上擁有163萬訂閱者的頻道TopTenz,今日一直循環播放Coinbase首席執行官Brian Armstrong回答觀眾問題的鏡頭以冒充直播,誘導用戶發送比特幣付款并聲稱可換取5000 BTC贈品。到目前為止,騙子已獲取近7.2 BTC。(Cointelegraph)[2020/4/6]
0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4
?被攻擊合約:
0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6
1. 攻擊者先創建NFT攻擊合約,如圖所示。
2.因為用戶將ERC20代幣過度授權給了ExchangeV4(被攻擊合約),并且ExchangeV4合約存在漏洞。導致攻擊者利用ExchangeV4合約的fillSellOrder函數進行NFT訂單創建通過向用戶出售攻擊合約中的NFT來轉移用戶向ExchangeV4合約授權的代幣。
3.攻擊完成后,攻擊者將所盜資產轉移至Tornado.Cash。
本次攻擊主要利用了在ExchangeV4合約中創建的NFT訂單地址可以被指定,并且在交易中只驗證了賣方簽名就進行轉賬,導致用戶在有向ExchangeV4進行ERC20代幣授權的情況下,攻擊者可以創建自己的NFT單方面進行交易,將虛假的NFT轉移給用戶換出用戶向ExchangeV4合約授權的代幣。
在fillSellOrder函數中,攻擊者可以指定出售的NFT地址,并且在驗證中只驗證了攻擊者的簽名,而未驗證買方的簽名。那么攻擊者可以通過驗證,并在調用_fillSellOrder函數時,將攻擊合約的NFT轉移給買方,并執行_sendERC20PaymentsWithRoyalties函數轉移買方向合約授權的ERC20代幣
截止發文時,攻擊者獲利約847個BNB,當前攻擊者已將所盜資金向Tornado.Cash轉移。
針對本次事件,成都鏈安安全團隊建議:
1.在實現簽名交易的功能時,需要驗證買賣雙方的簽名。
2.用戶需要避免過度授權保證財產安全。
3.項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,以規避安全風險。
作者:Maco 修訂:Evelyn Avalanche 以三鏈架構為特點,分別為交易鏈(X-Chain,DAG)、合約鏈(C-Chain)、平臺鏈(P-Chain),下圖給出了比較清晰的分工.
1900/1/1 0:00:00紅杉資本成立于1972年,到今年剛好50年,在全球風險投資領域,紅杉資本是無可爭議的帶頭大哥。自成立以來,紅杉資本成功投資了蘋果、思科、甲骨文、谷歌等巨頭公司,見證了一個又一個傳奇企業的閃耀時刻.
1900/1/1 0:00:006月30日,新京報貝殼財經會客廳——建立數字藏品的正向發展標準和路徑,數字藏品行業如何“守正·創新”規范發展研討會在北京舉行.
1900/1/1 0:00:00小牛APP:https://m.cryptopal.live/?name=b1??(鏈接復制到瀏覽器,打開下載~)6月26日14:48預警,價格約0.08美元附近,最高價格為3.091美元.
1900/1/1 0:00:00作者:張烽 2022 年 6 月 29 日,NFT 租賃市場 Double Protocol 推出的可租賃 NFT 標準 EIP-4907 已通過以太坊開發團隊最終審核.
1900/1/1 0:00:00近日一位自稱 @CryptoInsider23 的內部人士披露了所謂 Circle(USDC)的內幕。而 Circle CEO 對此的回復是“utter nonsense”(胡說八道).
1900/1/1 0:00:00