以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

OPtimism鏈的Quixotic項目遭受黑客事件分析_CHA

Author:

Time:1900/1/1 0:00:00

2022年7月1日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,OPtimism鏈的Quixotic項目遭受黑客攻擊,黑客獲利847個BNB。成都鏈安安全團隊對事件進行了分析,結果如下。

據悉,Quixotic 是一個可以使用ERC20代幣和NFT進行買賣的平臺,本次攻擊事件發生后,平臺目前所有市場活動都已暫停。

AC:Fantom正在考慮集成Optimistic Rollup以將Fantom連接到以太坊:8月9日消息,Fantom基金會聯合創始人兼架構師Andre Cronje(AC)表示,Fantom正在考慮集成Optimistic Rollup以將Fantom連接到以太坊。Andre Cronje稱,如果Fantom采用Optimistic Rollup并提供以太坊上完整的交易歷史記錄,那么Fantom需要支付交易費用才能將這些快照寫入以太坊。Fantom基金會首席執行官Michael Kong補充說,以這種方式實施Layer2技術將使Fantom網絡能夠從以太坊生態系統中獲得更多流動性。[2023/8/9 16:16:00]

?攻擊者地址

跨鏈流動性聚合協議Via Protocol新增支持Optimism:3月24日消息,跨鏈流動性聚合協議Via Protocol宣布新增支持Optimism,當前支持的代幣包括USDT、USDC、ETH以及Synthetix生態的SNX、sUSD、sETH、LYRA、THALES等資產。[2022/3/24 14:15:17]

攻擊者:

0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5

攻擊者合約:

0xbe81eabdbd437cba43e4c1c330c63022772c2520

合成資產協議Synthetix將在Optimism上推出首個黃金和白銀合成大宗商品:3月12日消息,合成資產協議 Synthetix 宣布將在 Optimism 上推出首個合成大宗商品(synthetic commodity),交易者能夠在 Kwenta 上獲得黃金和白銀市場的鏈上投資敞口。此外,Synthetix 還表示正在與預言機 ChainLink 合作,以確保為各類頭部交易商品提供信息。

Synthetix 表示,在推出黃金和白銀合成大宗商品之后,他們還計劃探索更多類型的合成商品,可能涉及貴金屬、農產品、以及能源等領域。目前 Synthetix 已經發起投票,讓社區選出下一個上線的合成大宗商品。[2022/3/12 13:52:05]

?攻擊交易

加密期權交易協議Optyn已集成Chainlink喂價:2021年春季Chainlink線上黑客松亞軍Optyn宣布,已成功集成Chainlink喂價,以準確地為基于Polygon的DeFi協議創建、交易和結算的期權合約和合成資產定價。

據悉,Optyn是建立在Polygon上的期權市場和合成資產協議,使用戶能夠接觸合成資產并創建期權合約。[2021/5/26 22:47:14]

0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df

0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4

?被攻擊合約:

0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6

1. 攻擊者先創建NFT攻擊合約,如圖所示。

2.因為用戶將ERC20代幣過度授權給了ExchangeV4(被攻擊合約),并且ExchangeV4合約存在漏洞。導致攻擊者利用ExchangeV4合約的fillSellOrder函數進行NFT訂單創建通過向用戶出售攻擊合約中的NFT來轉移用戶向ExchangeV4合約授權的代幣。

3.攻擊完成后,攻擊者將所盜資產轉移至Tornado.Cash。

本次攻擊主要利用了在ExchangeV4合約中創建的NFT訂單地址可以被指定,并且在交易中只驗證了賣方簽名就進行轉賬,導致用戶在有向ExchangeV4進行ERC20代幣授權的情況下,攻擊者可以創建自己的NFT單方面進行交易,將虛假的NFT轉移給用戶換出用戶向ExchangeV4合約授權的代幣。

在fillSellOrder函數中,攻擊者可以指定出售的NFT地址,并且在驗證中只驗證了攻擊者的簽名,而未驗證買方的簽名。那么攻擊者可以通過驗證,并在調用_fillSellOrder函數時,將攻擊合約的NFT轉移給買方,并執行_sendERC20PaymentsWithRoyalties函數轉移買方向合約授權的ERC20代幣

截止發文時,攻擊者獲利約847個BNB,當前攻擊者已將所盜資金向Tornado.Cash轉移。

針對本次事件,成都鏈安安全團隊建議:

1.在實現簽名交易的功能時,需要驗證買賣雙方的簽名。

2.用戶需要避免過度授權保證財產安全。

3.項目上線前,建議選擇專業的安全審計公司進行全面的安全審計,以規避安全風險。

Tags:CHAOPTFANNFTblockchain是什么意思中文翻譯OPTCM價格Land of FantasyWNFT價格

萊特幣最新價格
CertiK首發 | 注意:Shade Inu Token已被確認為惡意欺詐項目_ADE

北京時間2022年7月6日18:18:26和2022年7月6日上午18:37:59,一個假冒的Shade Inu Token項目部署者從流動性池中移除大量的流動性.

1900/1/1 0:00:00
8點方向:助你尋找優質NFT項目_BSP

價值有多種形式。根據自己的世界觀,可能更容易高估或不成比例地貶低某物的價值。盡管如此,價值代表了無法估量的變量糾纏,從根本上講,這些變量始終是主觀的.

1900/1/1 0:00:00
幣安五周年創始人公開信:團隊擴大 200 倍 用戶量超 1.2 億_WEB

撰文:趙長鵬,幣安創始人 親愛的幣安用戶: 幣安五周年了。回首這漫長的五年,我們實現了許多「不可能」。五年前,我們只有方寸之地、寥寥數人,卻夢想著建立一個穩定可靠的加密資產交易平臺.

1900/1/1 0:00:00
數字人民幣智慧學生證:對于特定群體硬錢包_數字人

據移動支付網了解,該產品內置NFC模塊,集數字人民幣硬錢包、GPS定位、親情通話、緊急求助、電子圍欄等功能于一身,可為校方、家長和學生提供更加便捷、安全的支付和使用體驗.

1900/1/1 0:00:00
成為多鏈世界的最大「賣水人」跨鏈賽道的下半場敘事如何繼續?_POL

原文標題:《成為多鏈世界的最大「賣水人」,跨鏈賽道的下半場敘事如何繼續?》原文作者:加密世界愛好者 Frank此前 Bankless 發布 2022 年加密行業預測.

1900/1/1 0:00:00
自主創新區塊鏈技術助力北京冷鏈防疫_區塊鏈

疫情期間,自主可控區塊鏈軟硬件技術體系長安鏈與隱私計算融合構建的長安鏈隱私計算平臺,應用于北京市冷鏈食品追溯平臺,精準管控百萬噸進口冷鏈食品,實現“物、人、車、庫 ”數據信息的全鏈條追溯鎖定.

1900/1/1 0:00:00
ads