OPtimism鏈的Quixotic項目遭受黑客事件分析_OPTI

2022年7月1日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，OPtimism鏈的Quixotic項目遭受黑客攻擊，黑客獲利847個BNB。成都鏈安安全團隊對事件進行了分析，結果如下。

事件相關信息

據悉，Quixotic是一個可以使用ERC20代幣和NFT進行買賣的平臺，本次攻擊事件發生后，平臺目前所有市場活動都已暫停。

Fantom,Arbitrum和Optimism網絡今日日活躍地址數已超7個月前的周活:11月23日消息，鏈上分析平臺 Nansen 發推稱，鏈上活動蓬勃發展。Fantom、Arbitrum 和 Optimism 區塊鏈網絡現在每天的活躍地址比 7 個月前的一周（活躍地址）都要多。各區快鏈網絡2022年11月23日活躍地址地址數分別為：BNBChain 1.27M；Polygon 834K；Fantom 457K；Ethereum 420K；Solana (Wallet accounts) 299K；Arbitrum 74K；Optimism 42K；Avalanche C-Chain 35K。[2022/11/23 8:01:34]

?攻擊者地址

Synthetix啟用以太坊和Optimism間的sUSD橋:7月19日消息，合成資產協議Synthetix宣布啟用以太坊和Optimism間的sUSD橋，之后Optimism Gateway也將支持sUSD。[2022/7/19 2:23:34]

攻擊者：

0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5

攻擊者合約：

0xbe81eabdbd437cba43e4c1c330c63022772c2520

?攻擊交易

0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df

Optimism 宣布取消白名單，將完全開放部署應用程序權限:12月17日消息，Optimism今日宣布已取消白名單，從今日起任何人都可在Optimism系統上自由部署合約、構建應用程序，未來升級將保留所有狀態、交易歷史和事件數據。Optimism官方表示：“取消白名單加上EVM 等效升級的完成意味著 Optimism 比以往任何時候都更容易獲得。權力下放是一個具有挑戰性且循序漸進的過程。無需許可的合約部署使我們離真正開放、可訪問、積極的以太坊愿景更近了一步。”

11月，Optimism 宣布正式上線 EVM （以太坊虛擬機）等效性，簡化了開發者的開發過程以及降低交易費用。[2021/12/17 7:45:26]

0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4

1inch已部署至以太坊二層擴容方案Optimistic Ethereum:8月17日消息，鏈上交易聚合平臺1inch現已部署至以太坊二層擴容方案Optimistic Ethereum。目的是降低Gas費并增加1inch用戶的每秒交易量。1inch聯合創始人Anton Bukov表示，Optimism Ethereum將能夠在其網絡優化生產版本推出時達到約2000 TPS。（The Block）[2021/8/18 22:20:25]

?被攻擊合約：

0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6

#攻擊過程

1.攻擊者先創建NFT攻擊合約，如圖所示。

2.因為用戶將ERC20代幣過度授權給了ExchangeV4，并且ExchangeV4合約存在漏洞。導致攻擊者利用ExchangeV4合約的fillSellOrder函數進行NFT訂單創建通過向用戶出售攻擊合約中的NFT來轉移用戶向ExchangeV4合約授權的代幣。

3.攻擊完成后，攻擊者將所盜資產轉移至Tornado.Cash。

漏洞分析

本次攻擊主要利用了在ExchangeV4合約中創建的NFT訂單地址可以被指定，并且在交易中只驗證了賣方簽名就進行轉賬，導致用戶在有向ExchangeV4進行ERC20代幣授權的情況下，攻擊者可以創建自己的NFT單方面進行交易，將虛假的NFT轉移給用戶換出用戶向ExchangeV4合約授權的代幣。

在fillSellOrder函數中，攻擊者可以指定出售的NFT地址，并且在驗證中只驗證了攻擊者的簽名，而未驗證買方的簽名。那么攻擊者可以通過驗證，并在調用_fillSellOrder函數時，將攻擊合約的NFT轉移給買方，并執行_sendERC20PaymentsWithRoyalties函數轉移買方向合約授權的ERC20代幣

資金追蹤

截止發文時，攻擊者獲利約847個BNB，當前攻擊者已將所盜資金向Tornado.Cash轉移。

總結

針對本次事件，成都鏈安安全團隊建議：

1.在實現簽名交易的功能時，需要驗證買賣雙方的簽名。

2.用戶需要避免過度授權保證財產安全。

3.項目上線前，建議選擇專業的安全審計公司進行全面的安全審計，以規避安全風險。

Tags：OPTITIMIIMIOPToptimus幣最新消息TimicoinNoLimitCoinopt幣在哪里交易

比特幣最新價格