木星链 木星链
Ctrl+D收藏木星链
首页 > 火必 > 正文

OPT:OPtimism链的Quixotic项目遭受黑客事件分析

作者:

时间:1900/1/1 0:00:00

2022年7月1日,成都链安链必应-区块链安全态势感知平台舆情监测显示,OPtimism链的Quixotic项目遭受黑客攻击,黑客获利847个BNB。成都链安安全团队对事件进行了分析,结果如下。

据悉,Quixotic 是一个可以使用ERC20代币和NFT进行买卖的平台,本次攻击事件发生后,平台目前所有市场活动都已暂停。

Optimism、Aptos和Ape Coin将于本月释放总价值超过1亿美元的代币进入流通供应:金色财经报道,加密网络Optimism、Aptos和Ape Coin将于本月进行大量代币解锁,释放总价值超过1亿美元的代币进入流通供应。

据Token Unlocks数据,Ape Coin将于7月17日发行1560万个APE代币,占其流通量的4.23%,价值3430万美元。大部分解锁资金(1620万美元)将归项目金库,其中920万美元归开发商Yuga Labs,490万美元归其创始人。Ape Coin在6月份发行了相同数量的货币。

根据Coin Gecko的数据,解锁后,APE的价格从2.10美元下跌约5%至1.98美元,然后恢复至2.21美元。[2023/7/4 22:16:17]

?攻击者地址

Optimism开发者karl.floersch.eth将接任OP Labs CEO一职:金色财经报道,OP Labs发推表示,Optimism Collective开发者karl.floersch.eth将接任OP Labs的首席执行官一职,liam.eth将不再担任该职。[2023/4/29 14:34:27]

攻击者:

0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5

攻击者合约:

0xbe81eabdbd437cba43e4c1c330c63022772c2520

Optimism推出治理系统Optimism Collective,旨在推动生态高速可持续发展:4月27日消息,以太坊扩容方案 Optimism 宣布推出治理系统 Optimism Collective。据官方介绍显示,Optimism Collective 由社区、公司和公民组成,并由 Citizens' House 和 Token House 共同治理,旨在避免出现以太坊上其他治理模型所发生的治理陷阱,推动去中心化生态系统的高速及可持续发展。[2022/4/27 5:13:34]

?攻击交易

0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df

声音 | 英国金融行为监管局:Bex Options以及Gulf FX提供的金融产品未获得授权:据fxshell报道,英国金融行为监管局(FCA)日前提醒投资者,Bex Options以及Gulf FX向英国居民提供的金融服务或产品未获得机构授权。Bex Options网站显示,其运营公司为Bex Options Trade and Investmen,自称可提供加密货币交易。其中,Gulf FX涉嫌克隆受FCA监管的合规公司Gulf Central Merchant Bank Ltd。[2018/12/19]

0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4

?被攻击合约:

0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6

1. 攻击者先创建NFT攻击合约,如图所示。

2.因为用户将ERC20代币过度授权给了ExchangeV4(被攻击合约),并且ExchangeV4合约存在漏洞。导致攻击者利用ExchangeV4合约的fillSellOrder函数进行NFT订单创建通过向用户出售攻击合约中的NFT来转移用户向ExchangeV4合约授权的代币。

3.攻击完成后,攻击者将所盗资产转移至Tornado.Cash。

本次攻击主要利用了在ExchangeV4合约中创建的NFT订单地址可以被指定,并且在交易中只验证了卖方签名就进行转账,导致用户在有向ExchangeV4进行ERC20代币授权的情况下,攻击者可以创建自己的NFT单方面进行交易,将虚假的NFT转移给用户换出用户向ExchangeV4合约授权的代币。

在fillSellOrder函数中,攻击者可以指定出售的NFT地址,并且在验证中只验证了攻击者的签名,而未验证买方的签名。那么攻击者可以通过验证,并在调用_fillSellOrder函数时,将攻击合约的NFT转移给买方,并执行_sendERC20PaymentsWithRoyalties函数转移买方向合约授权的ERC20代币

截止发文时,攻击者获利约847个BNB,当前攻击者已将所盗资金向Tornado.Cash转移。

针对本次事件,成都链安安全团队建议:

1.在实现签名交易的功能时,需要验证买卖双方的签名。

2.用户需要避免过度授权保证财产安全。

3.项目上线前,建议选择专业的安全审计公司进行全面的安全审计,以规避安全风险。

标签:OPTPTIOPTIIMIOptimusWrapped OptimusOptimismSASHIMI价格

火必热门资讯
NFT:NFT 破圈之路:NFT 亏了 但我可以授权做 IP 啊

撰文:Sleepy最近几条关于 NFT IP 授权的新闻扎堆出现,让很多人终于开始关注这一赛道。在这几天,有的无聊猿被挂到「人才市场」,有的无聊猿则穿上了新的系列套装.

1900/1/1 0:00:00
AND:加密资产市场下行 元宇宙叙事未衰

加密资产市场下行波及多个板块,DeFi赛道的一些借贷应用出现了流动性危机;Solana、BSC等公链的链上生态进入沉寂阶段;无聊猿BAYC、朋克头像Cryptopunk、日系画风Azuki等蓝筹.

1900/1/1 0:00:00
加密货币:新规范发布 数藏市场即将步入正轨

一直以来,数字藏品市场的发展方向都较为模糊,如今这一现状有望改变!进入2022年,数字藏品平台数量暴涨,截止目前已达到500余个.

1900/1/1 0:00:00
WEB:Web3 社交有哪些新场景?

Web3 社交就 = Web2 社交 + 连接钱包吗?Crypto-native 的社交需求是什么?Web3 去中心化的社交网络应当是什么样的?6 月 23 日.

1900/1/1 0:00:00
NFT:数字藏品与NFT到底有何区别?

近日,福建省发布了《福建省清理整顿各类交易场所工作小组关于防范NFT违规风险的提示函》(以下简称《提示函》),作出“不得未经批准从事NFT交易、不得违规变相参与NFT活动”等四条提示.

1900/1/1 0:00:00
比特币:萨尔瓦多比特币实验一周年:是良方还是更深的泥潭

萨尔瓦多一直是货币实验的舞台。2001 年,美元成为该国唯一的法定货币。2021 年 6 月 9 日,萨尔瓦多国会正式投票通过比特币法案,成为世界上首个宣布将比特币作为法定货币的国家,一时轰动了.

1900/1/1 0:00:00