以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > 聚幣 > Info

PTI:OPtimism鏈的Quixotic項目遭受黑客事件分析

Author:

Time:1900/1/1 0:00:00

2022年7月1日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,OPtimism鏈的Quixotic項目遭受黑客攻擊,黑客獲利847個BNB。成都鏈安安全團隊對事件進行了分析,結果如下。

事件相關信息

據悉,Quixotic是一個可以使用ERC20代幣和NFT進行買賣的平臺,本次攻擊事件發生后,平臺目前所有市場活動都已暫停。

Optimism正開發OP Stack故障證明系統,含防錯程序、防故障虛擬機等組件:7月25日消息,Optimism生態開發人員正開發OP Stack的故障證明系統,包括防錯程序(FPP)、防故障虛擬機(FPVM)、Dispute Game等組件,此外FPP和FPVM的分離使得相同的操作程序既可以在FPVM中運行,也可以在ZKVM中運行,以幫助OP Stack ZKP實現基于ZK的有效性證明,并為不同網絡之間的低延遲跨鏈橋提供支持。[2023/7/25 15:56:25]

?攻擊者地址

攻擊者:

0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5

音樂NFT平臺Sound.xyz在Optimism上啟動:6月13日消息,音樂NFT平臺Sound.xyz宣布與Optimism Collective達成合作關系,并在Optimism上啟動其平臺,允許藝術家在Optimism上傳音樂。Sound.xyz還推出了一種使用主網ETH進行支付并將音樂NFT發送到Optimism上錢包的方式。[2023/6/13 21:34:01]

攻擊者合約:

0xbe81eabdbd437cba43e4c1c330c63022772c2520

?攻擊交易

0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df

Infura將于今日棄用Optimism Kovan和Arbitrum Rinkeby測試網:10月5日消息,由于計劃在以太坊合并后棄用測試網,Infura宣布將于今日起棄用Optimism Kovan和Arbitrum Rinkeby測試網,請確保盡快遷移到新的Goerli測試網端點以避免發生中斷情況。[2022/10/6 18:40:24]

0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4

?被攻擊合約:

0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6

Optimism:警惕Profanity相關風險,建議轉移其生成地址的資產:9月21日消息,據官方推特,以太坊二層解決方案Optimism再次警告Profanity相關風險,稱如果用戶將資產存儲在使用Profanity地址生成器創建的地址上,可能將面臨與鏈無關的漏洞利用的風險。

為了確保資產安全,強烈建議用戶將資金盡快轉移到不是使用該工具生成的地址上。[2022/9/21 7:10:32]

#攻擊過程

1.攻擊者先創建NFT攻擊合約,如圖所示。

2.因為用戶將ERC20代幣過度授權給了ExchangeV4,并且ExchangeV4合約存在漏洞。導致攻擊者利用ExchangeV4合約的fillSellOrder函數進行NFT訂單創建通過向用戶出售攻擊合約中的NFT來轉移用戶向ExchangeV4合約授權的代幣。

3.攻擊完成后,攻擊者將所盜資產轉移至Tornado.Cash。

漏洞分析

本次攻擊主要利用了在ExchangeV4合約中創建的NFT訂單地址可以被指定,并且在交易中只驗證了賣方簽名就進行轉賬,導致用戶在有向ExchangeV4進行ERC20代幣授權的情況下,攻擊者可以創建自己的NFT單方面進行交易,將虛假的NFT轉移給用戶換出用戶向ExchangeV4合約授權的代幣。

在fillSellOrder函數中,攻擊者可以指定出售的NFT地址,并且在驗證中只驗證了攻擊者的簽名,而未驗證買方的簽名。那么攻擊者可以通過驗證,并在調用_fillSellOrder函數時,將攻擊合約的NFT轉移給買方,并執行_sendERC20PaymentsWithRoyalties函數轉移買方向合約授權的ERC20代幣

資金追蹤

截止發文時,攻擊者獲利約847個BNB,當前攻擊者已將所盜資金向Tornado.Cash轉移。

總結

針對本次事件,成都鏈安安全團隊建議:

1.在實現簽名交易的功能時,需要驗證買賣雙方的簽名。

2.用戶需要避免過度授權保證財產安全。

3.項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,以規避安全風險。

Tags:TIMNFTOptimismPTITIMONCLOCK Vault (NFTX)Optimism BOBOPTIMUSAI

聚幣
AND:a16z 顧問 Packy McCormick:完成比難更難的事情

來源:老雅痞 在2015年的一篇博文《CarlotaPerez框架》中,USV的FredWilson寫道:CarlotaPerez的推論是“沒有崩潰就沒有重要的事情發生”.

1900/1/1 0:00:00
OIN:CoinLoan降低提現額 又一批CeFi進入暴雷倒計時

進入7月,加密資產市場發生的風險傳染仍未結束。7月4日,加密資產借貸平臺CoinLoan宣布,將用戶每日提款限額從50萬美元降低至5000美元,該平臺將原因歸咎于同類競品平臺的流動性問題引發恐慌.

1900/1/1 0:00:00
比特幣:金色觀察 | 穩定幣未來:成為美元霸權守護者或是去中心化殉道者

要么像英雄那樣死去,要么活得足夠長,變成一個惡棍。 ——《黑暗騎士》 隨著美聯儲實施緊縮政策,市場流動性正在迅速枯竭。因此,加密貨幣市場也面臨寒冬.

1900/1/1 0:00:00
SAN:金色前哨 | Sango Coin和BTC將作為公認加密貨幣存在于中非共和國

外媒消息指出,中非共和國推出名為“SangoCoin”的國家加密貨幣。SangoCoin和比特幣將作為公認的加密貨幣存在于中非共和國。該代幣將用于使該國的基礎設施和計劃中的元宇宙項目現代化.

1900/1/1 0:00:00
LOCK:金色晨訊 | 7月2日隔夜重要動態一覽

21:00-7:00關鍵詞:三箭資本、BlockFi、VoyagerDigital、TheSandbox1.三箭資本已向紐約法院申請破產保護;2.SBF:不是特別關注礦工.

1900/1/1 0:00:00
加密貨幣:管理加密游戲經濟:開放經濟、本地貨幣和雙代幣模型的問題

原文:MetaPortal我們經常聽到加密游戲將自己稱為國家。通常,他們這樣做是為了表示社區和人們在敘述背后聚集在一起的感覺。似乎很少關注一個國家的經濟方面。貨幣、財政和貨幣政策、人口增長等.

1900/1/1 0:00:00
ads