比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > Polygon > Info

OPtimism鏈的Quixotic項目遭受黑客事件分析_TIMI

Author:

Time:1900/1/1 0:00:00

2022年7月1日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,OPtimism鏈的Quixotic項目遭受黑客攻擊,黑客獲利847個BNB。成都鏈安安全團隊對事件進行了分析,結果如下。

事件相關信息

據悉,Quixotic是一個可以使用ERC20代幣和NFT進行買賣的平臺,本次攻擊事件發生后,平臺目前所有市場活動都已暫停。

NFT鑄造聚合器mint.fun已支持鑄造Zora Network和Optimism網絡NFT:7月20日消息,Web3追蹤工具Context推出的鑄造聚合器mint.fun已支持鑄造Zora Network和Optimism網絡NFT,并在Optimism網絡上推出可免費鑄造的NFT,用戶可在PT時間7月21日9:00前鑄造。此外用戶在mint.fun上鑄造一個L2NFT,可獲得10個積分,每個NFT系列最多可獲得100積分。[2023/7/20 11:06:23]

?攻擊者地址

攻擊者:

0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5

Optimism生態去中心化永續合約協議Pika Protocol公布OP代幣分配計劃:金色財經消息,Optimism生態去中心化永續合約協議Pika Protocol公布OP代幣分配計劃,其中將用15萬枚OP獎勵給協議原有支持者(30%)和未來交易者(70%);將60萬枚代幣用作流動性激勵,其中20%給早期支持者,80%給未來用戶;15萬枚OP用作贈款,早期貢獻者占比10%,未來獎勵占比90%。其中早期支持者的4.5萬枚(15萬枚的30%)OP獎勵已于2022年7月16日完成快照,所有在該日期之前支付至少10美元交易費的交易者都有資格獲得,且每支付1 USDC費用將獎勵0.306枚OP,大于1000 USDC的交易者每人則將獲得306枚OP獎勵。[2022/8/30 12:56:54]

攻擊者合約:

Optimism觸及1.97美元后回落,24小時漲幅22.81%:7月30日消息,據行情數據顯示,Optimism(OP)于今晨觸及1.97美元后回落,現報價1.84美元,24小時漲幅22.81%。[2022/7/30 2:47:37]

0xbe81eabdbd437cba43e4c1c330c63022772c2520

?攻擊交易

0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df

0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4

DAI代幣橋在以太坊二層擴容方案Optimistic啟動:官方消息,DAI代幣橋在以太坊二層擴容方案Optimistic啟動。Ethereum Optimism DAI代幣橋是一個快速、去中心化的DAI版本。存款幾乎是即時的,但取款需要1周的等待期。 L2 DAI現在與Optimism門戶UI集成并通過Optimism上的Uniswap獲得支持。[2021/7/20 1:05:16]

?被攻擊合約:

0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6

#攻擊過程

1.攻擊者先創建NFT攻擊合約,如圖所示。

2.因為用戶將ERC20代幣過度授權給了ExchangeV4,并且ExchangeV4合約存在漏洞。導致攻擊者利用ExchangeV4合約的fillSellOrder函數進行NFT訂單創建通過向用戶出售攻擊合約中的NFT來轉移用戶向ExchangeV4合約授權的代幣。

3.攻擊完成后,攻擊者將所盜資產轉移至Tornado.Cash。

漏洞分析

本次攻擊主要利用了在ExchangeV4合約中創建的NFT訂單地址可以被指定,并且在交易中只驗證了賣方簽名就進行轉賬,導致用戶在有向ExchangeV4進行ERC20代幣授權的情況下,攻擊者可以創建自己的NFT單方面進行交易,將虛假的NFT轉移給用戶換出用戶向ExchangeV4合約授權的代幣。

在fillSellOrder函數中,攻擊者可以指定出售的NFT地址,并且在驗證中只驗證了攻擊者的簽名,而未驗證買方的簽名。那么攻擊者可以通過驗證,并在調用_fillSellOrder函數時,將攻擊合約的NFT轉移給買方,并執行_sendERC20PaymentsWithRoyalties函數轉移買方向合約授權的ERC20代幣

資金追蹤

截止發文時,攻擊者獲利約847個BNB,當前攻擊者已將所盜資金向Tornado.Cash轉移。

總結

針對本次事件,成都鏈安安全團隊建議:

1.在實現簽名交易的功能時,需要驗證買賣雙方的簽名。

2.用戶需要避免過度授權保證財產安全。

3.項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,以規避安全風險。

Tags:NFTTIMITIMOPTIBeNFT SolutionsTimicoinTIMEoptimus幣總量

Polygon
對 Web3 批評者的反駁 :你們這些不懂技術的技術員_區塊鏈

來源:老雅痞 有些人不使用Web3——或者他們不想使用Web3是有原因的,你會認為進步的問題并不是一個真正的問題.

1900/1/1 0:00:00
金色觀察 | Web3基金會第14輪36個資助項目一覽_COM

2022年7月11日,Web3基金會發布了第14輪資助項目,一共36個,包括創新錢包解決方案、ink!智能合約、密碼學有趣發展以及大量與用戶界面相關的項目.

1900/1/1 0:00:00
WEB3技術發展探索:隱私保護計算_區塊鏈

數據流通行業進入密態時代,可信隱私計算將成為未來十幾年互聯網重點關注的領域。7月4日,螞蟻集團宣布面向全球開發者正式開源可信隱私計算框架“隱語”.

1900/1/1 0:00:00
流動性視角中 CeFi 的功與過_EFI

作者:Solv研究組 本文是Solv研究組對于本次crypto市場暴跌的第三篇深度分析,在承接上一篇對于crypto市場美元化的論述之后.

1900/1/1 0:00:00
去新加坡 收割一個時代?_WEB3.0

摘??要 新加坡就像一個踩中了風口的創業公司,但有多少人真的能夠從投資新加坡中獲益,有待觀察 文:劉以秦顧翎羽陳伊凡 從地圖上看,東南亞島國新加坡像一顆鉆石.

1900/1/1 0:00:00
金色Web3.0日報 | 現代汽車公司提交NFT相關商標申請_AMA

DeFi數據 1.DeFi代幣總市值:383.7億美元 DeFi總市值數據來源:coingecko2.過去24小時去中心化交易所的交易量:31.

1900/1/1 0:00:00
ads