月亮链 月亮链
Ctrl+D收藏月亮链

IMI:OPtimism链的Quixotic项目遭受黑客事件分析_OPT

作者:

时间:1900/1/1 0:00:00

2022年7月1日,成都链安链必应-区块链安全态势感知平台舆情监测显示,OPtimism链的Quixotic项目遭受黑客攻击,黑客获利847个BNB。成都链安安全团队对事件进行了分析,结果如下。

事件相关信息

据悉,Quixotic是一个可以使用ERC20代币和NFT进行买卖的平台,本次攻击事件发生后,平台目前所有市场活动都已暂停。

数据:Optimism链上Worldcoin钱包总量突破100万个:7月30日消息,据Dune数据显示,Optimism(已更名为OP Mainnet)链上Worldcoin钱包总量已达1,007,045个(不包括用户尚未迁移到Optimism链上的预发布钱包),其中持有WLD代币的Optimism钱包数量为337,444个。[2023/7/31 16:07:51]

?攻击者地址

攻击者:

0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5

攻击者合约:

0xbe81eabdbd437cba43e4c1c330c63022772c2520

?攻击交易

0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df

Binance将上线Optimism (OP):6月1日消息,Binance 宣布将于2022年6月1日12:00 时上线 Optimism (OP),并开放 OP/BTC、OP/BUSD、OP/USDT 交易对。公告中称,Binance仅支持Optimism网络上OP的充值,用户不可以在任何其他网络上充值OP Token。[2022/6/1 3:54:34]

0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4

?被攻击合约:

0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6

#攻击过程

1.攻击者先创建NFT攻击合约,如图所示。

Optimism“下周发重大新闻”后,其网络涌入超1万个独立以太坊地址:金色财经报道,Optimism在其推特账户上称“下周发重大新闻”后,该网络涌入了超过1万个独立以太坊地址。潜在投资者认为,作为以太坊网络可扩展解决方案,Optimisim可能会在下周宣布空投或发行代币,但并非所有投资者都持乐观态度,因为慷慨的赠品对代币未来价格来说不是一件好事。(u.today)[2021/9/15 23:27:02]

2.因为用户将ERC20代币过度授权给了ExchangeV4,并且ExchangeV4合约存在漏洞。导致攻击者利用ExchangeV4合约的fillSellOrder函数进行NFT订单创建通过向用户出售攻击合约中的NFT来转移用户向ExchangeV4合约授权的代币。

以太坊二层扩容方案Optimism预计在今年7月份上线:据官方消息,以太坊二层扩容方案Optimism将延迟主网上线时间,预计在今年7月份上线,以确保整个社区能协调上线,让基础项目、基础设施提供方、出块方、钱包、代币桥等有时间进行集成。[2021/3/26 19:19:29]

3.攻击完成后,攻击者将所盗资产转移至Tornado.Cash。

漏洞分析

本次攻击主要利用了在ExchangeV4合约中创建的NFT订单地址可以被指定,并且在交易中只验证了卖方签名就进行转账,导致用户在有向ExchangeV4进行ERC20代币授权的情况下,攻击者可以创建自己的NFT单方面进行交易,将虚假的NFT转移给用户换出用户向ExchangeV4合约授权的代币。

在fillSellOrder函数中,攻击者可以指定出售的NFT地址,并且在验证中只验证了攻击者的签名,而未验证买方的签名。那么攻击者可以通过验证,并在调用_fillSellOrder函数时,将攻击合约的NFT转移给买方,并执行_sendERC20PaymentsWithRoyalties函数转移买方向合约授权的ERC20代币

资金追踪

截止发文时,攻击者获利约847个BNB,当前攻击者已将所盗资金向Tornado.Cash转移。

总结

针对本次事件,成都链安安全团队建议:

1.在实现签名交易的功能时,需要验证买卖双方的签名。

2.用户需要避免过度授权保证财产安全。

3.项目上线前,建议选择专业的安全审计公司进行全面的安全审计,以规避安全风险。

标签:IMIOPTTIMIPTIFimi Market Inc.optc币公告TimicoinINCEPTION

币安app官网下载热门资讯
Celsius:金色观察|破产、跑路、被收购?Celsius后续_cel币破产重组代币

加密货币借贷平台Celsius正在酝酿一场内部风暴,接连传出CEO跑路、申请破产等消息。两次撤出流动性自6月13日,Celsius暂停提款、兑换和转账功能以来,已经两次撤出流动性.

1900/1/1 0:00:00
NFT:金色Web3.0日报 | 农夫山泉首发限定数字藏品_UNFT价格

DeFi数据1.DeFi代币总市值:384.09亿美元 DeFi总市值数据来源:coingecko2.过去24小时去中心化交易所的交易量:39.

1900/1/1 0:00:00
区块链:金色晨讯 | 7月5日隔夜重要动态一览_CBD

21:00-7:00关键词:三箭资本、RossGerber、Moonbirds、Celsius1.三箭资本持有价值730万美元的NFT收藏;2.

1900/1/1 0:00:00
AAVE:详解借贷协议Maker、Aave、Compound的风控机制_Maker

杠杆资金是一把双刃剑,推动着周期的钟摆向两端运行。在牛市中,杠杆资金为资产价格的上升提供额外燃料,而在最近的下跌行情中,杠杆资金引发的连环清算与恐慌为加密世界蒙上了一片阴影.

1900/1/1 0:00:00
加密货币:14个市场底部信号 我们离底部还有多远_DontPlaywithKitty

原文作者:JackNiewold一个月前,我问了一堆加密货币OG,如何判断市场的底部。我提出了14个底部信号——在当时只有4个被印证,让我们瞧瞧现在情况如何了.

1900/1/1 0:00:00
INT:Free mint 高端玩家都在怎么玩?_Freedom. Jobs. Business

本文详细讲解了KingDataFreemintTool的各项功能,将有助于用户从小白进阶成高端金狗玩家.

1900/1/1 0:00:00