ETH:2000 万 OP 代币被盗关键：交易重放

作者：

时间：1900/1/1 0:00:00

背景

6月9日，Optimism与Wintermute双双发布公告，向社区披露了一起2000万OP代币丢失的事件。Optimism委托了Wintermute来为OP在二级市场上提供流动性服务，同时将向Wintermute提供2000万枚OP代币。为了接收这笔代币，Wintermute给了Optimism一个多签地址，在Optimism测试发送了两笔交易且Wintermute确认无误后，Optimism将2000万OP转移到了该地址。在Optimism转完币之后，Wintermute却发现自己没办法控制这些代币，因为他们所提供的多签地址暂时只部署在了以太坊主网上，尚未向Optimism网络部署。Wintermute立即启动了补救操作，但已有攻击者察觉到了这一漏洞，并抢在Wintermute之前将多签部署到了Optimism网络的该地址之上，成功控制了这2000万代币。那么问题来了，为什么会出现这种漏洞？

3个未标记地址已提取72000枚ETH:金色财经报道，据21Shares母公司21.Co链上数据研析师Tom Wan在社交媒体透露数据显示，3个未标记地址（多重签名钱包）今天已提取72000枚ETH（价值约1.23亿美元）其中三个ETH地址为：

1. 0xA9d9366f97CC1727eAd2F6115c0f446A977b0219；

2. 0xe187d594402c8f6b147f22d443406d1 b1edebdc7；

3. 0x276142c6358CCB8D90D35D7710789059D7dc56b3。[2023/6/20 21:48:25]

前置知识

首先需要确定交易签名是否符合标准，符合标准的签名会对9个RLP编码元素(nonce,gasprice,gas,to,value,data,chainid,0,0)进行哈希，其中包含了chainid，因此符合标准的签名v值就为{0,1}+chainid*2+35。而对不符合标准的签名，其只对6个元素进行哈希(nonce,gasprice,gas,to,value,data)，因此签名后v值为{0,1}+27。而不同的链会定义有不同的chainid，不同的chainid会得到不同的v值。根据ECDSA我们知道在v值不同的情况下，就算r与s值相同，签名所还原出的公钥也是不同的。因此对于符合标准的交易是无法在其他链上成功进行重放的。

数据：zkSync本周交易量超200万笔，ETH/ERC 20存入规模超4000万美元:3月25日消息，据Dune Analytics数据显示，以太坊Layer 2扩容解决方案zkSync本周交易量达到约为2,025,135笔，7天日均交易量均值创下历史新高，当前zkSync总交易量已接近2000万笔，其中以太坊链上总交易超100万笔。此外，zkSync存入的ETH/ERC 20总量突破8.4亿美元，本周存入金额约为41,467,531美元。[2023/3/25 13:25:47]

值得一提的是在以太坊伦敦升级时实施的引入了新的交易格式0x02||RLP()，chainid是单独编码的，而不包含在签名v值中了，签名v值只是作为一个简单的奇偶校验位，因此当前交易签名得到的v值变为0或1。

ETH突破3200美元关口日内涨幅为4.35%:火币全球站数据显示，ETH短线上涨，突破3200美元关口，现报3200.64美元，日内涨幅达到4.35%，行情波动较大，请做好风险控制。[2021/8/20 22:25:54]

交易重放

在我们了解完以上交易签名构造后我们就可以很清晰的知道签名v值为27或28是可以在不同链上被重放的。那么该如何在不同链上进行重放呢？这与我们发送交易并无不同，只需要将原始交易内容再其他链上进行发送即可。

以Wintermute2000万个OP代币被窃取事件为例，攻击者在此次事件中重放了GnosisSafe部署Factory合约的交易。我们在这里尝试重放GnosisSafeDeployer3的nonce为3的交易。

加密挖矿公司Bitfarms宣布购买近2000台新矿机:经营北美最大加密货币挖矿业务之一的公司Bitfarms Ltd.宣布已购买1847台神马 M20S矿机。新设备计划在4至5周内交付，一旦投入运营，采矿硬件有望为公司的计算能力带来每秒约133 petahash的提高。（GlobeNewswire）[2020/6/1]

一种较为简单的方法是先通过Etherscan获取原始交易：