木星链 木星链
Ctrl+D收藏木星链

OPT:OPtimism链的Quixotic项目遭受黑客事件分析

作者:

时间:1900/1/1 0:00:00

2022年7月1日,成都链安链必应-区块链安全态势感知平台舆情监测显示,OPtimism链的Quixotic项目遭受黑客攻击,黑客获利847个BNB。成都链安安全团队对事件进行了分析,结果如下。

事件相关信息

据悉,Quixotic是一个可以使用ERC20代币和NFT进行买卖的平台,本次攻击事件发生后,平台目前所有市场活动都已暂停。

adoptwombat Discord服务器已被入侵:金色财经消息,据CertiK监测,adoptwombat Discord服务器已被入侵,在公告中发布了一个钓鱼网站,请不要点击或与之互动。[2023/6/16 21:41:13]

?攻击者地址

攻击者:

0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5

攻击者合约:

0xbe81eabdbd437cba43e4c1c330c63022772c2520

?攻击交易

0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df

0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4

Synthetix关于在Optimism部署带有snxETH代币的合成ETH现货市场的提案开启投票:5月17日消息,合成资产协议 Synthetix 关于将带有 snxETH 代币的合成 ETH 现货市场部署到 Optimism,与 Synthetix V3 核心系统集成的提案开启投票,截止日期为 5 月 21 日。[2023/5/17 15:08:12]

?被攻击合约:

0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6

#攻击过程

1.攻击者先创建NFT攻击合约,如图所示。

合成资产协议Synthetix将在Optimism上推出首个黄金和白银合成大宗商品:3月12日消息,合成资产协议 Synthetix 宣布将在 Optimism 上推出首个合成大宗商品(synthetic commodity),交易者能够在 Kwenta 上获得黄金和白银市场的链上投资敞口。此外,Synthetix 还表示正在与预言机 ChainLink 合作,以确保为各类头部交易商品提供信息。

Synthetix 表示,在推出黄金和白银合成大宗商品之后,他们还计划探索更多类型的合成商品,可能涉及贵金属、农产品、以及能源等领域。目前 Synthetix 已经发起投票,让社区选出下一个上线的合成大宗商品。[2022/3/12 13:52:05]

2.因为用户将ERC20代币过度授权给了ExchangeV4,并且ExchangeV4合约存在漏洞。导致攻击者利用ExchangeV4合约的fillSellOrder函数进行NFT订单创建通过向用户出售攻击合约中的NFT来转移用户向ExchangeV4合约授权的代币。

Litentry与OptionRoom达成合作:波卡生态去中心化身份协议Litentry与波卡生态预言机和预测协议OptionRoom达成合作,OptionRoom将加入Litentry的Aggregated DID生态系统,以增加诚实协议参与者的数量。[2021/2/10 19:27:12]

3.攻击完成后,攻击者将所盗资产转移至Tornado.Cash。

漏洞分析

本次攻击主要利用了在ExchangeV4合约中创建的NFT订单地址可以被指定,并且在交易中只验证了卖方签名就进行转账,导致用户在有向ExchangeV4进行ERC20代币授权的情况下,攻击者可以创建自己的NFT单方面进行交易,将虚假的NFT转移给用户换出用户向ExchangeV4合约授权的代币。

在fillSellOrder函数中,攻击者可以指定出售的NFT地址,并且在验证中只验证了攻击者的签名,而未验证买方的签名。那么攻击者可以通过验证,并在调用_fillSellOrder函数时,将攻击合约的NFT转移给买方,并执行_sendERC20PaymentsWithRoyalties函数转移买方向合约授权的ERC20代币

资金追踪

截止发文时,攻击者获利约847个BNB,当前攻击者已将所盗资金向Tornado.Cash转移。

总结

针对本次事件,成都链安安全团队建议:

1.在实现签名交易的功能时,需要验证买卖双方的签名。

2.用户需要避免过度授权保证财产安全。

3.项目上线前,建议选择专业的安全审计公司进行全面的安全审计,以规避安全风险。

标签:OPTETINFTHEToptc币怎么样metis币未来价值NFTSwapsunshETH

比特币行情热门资讯
DEC:V神寄予厚望的共识机制 早就有成功案例了吗?

近日,Paradigm研究合伙人DanRobinson在推特上表示:事实证明,如果没有区块链奖励,就不可能拥有安全的POW区块链,并发起了一项“你更愿意比特币如何改变”的投票.

1900/1/1 0:00:00
加密货币:管理 Web3 游戏经济

文章作者:MetaPortalDAO管理加密游戏经济我们经常听到加密游戏将自己称为国家。通常,他们这样做是为了人们和社区在叙述背后聚集在一起的感觉.

1900/1/1 0:00:00
比特币:金色早报 | 李家超:香港会推进探索CBDC在零售层面的应用场景

头条▌李家超:香港会推进探索CBDC在零售层面的应用场景7月9日消息,香港特别行政区行政长官李家超在“2022财新夏季峰会:应对不确定性”上致辞.

1900/1/1 0:00:00
ETH2.0:从PoW迈向PoS的征途

PoW、PoS和女巫攻击 ETH作为当今加密生态的头部公链,其拥有最为繁荣的生态系统和最大的TVL。因此,ETH2.0的升级计划也理所当然的成为当下加密世界最受关注的热点之一.

1900/1/1 0:00:00
NFT:三箭资本持有价值730万美元的NFT收藏

金色财经报道,三箭资本据称持有价值730万美元的NFT收藏。根据NFTGators公布的数据,以下NFT归三箭资本所有,价值约736万美元.

1900/1/1 0:00:00
区块链:金色晚报 | 6月27日晚间重要动态一览

12:00-21:00关键词:三箭资本、USDT、Coinbase、Celsius1.加密经纪商VoyagerDigital宣布向三箭资本发出违约通知;2.

1900/1/1 0:00:00