INTER:金色前哨|2000万OP因何被盗 来看看链上细节_TER

2022年6月9日,做市商Wintermute透露,Optimism发送给其做市的2000万个OP代币被黑客盗取。丢失始末请看金色财经此前报道。

简单概括就是

两周前,OptimismFoundation聘请Wintermute为其在中心化交易所上市的OP代币提供流动性。作为协议的一部分,Wintermute获得了2000万枚OP贷款。

这2000万枚OP将被部署在Wintermute的Optimism钱包。当Wintermute将钱包地址发给Optimism团队时,发送的是Wintermute在主网上部署了一段时间的GnosisSafe多签钱包地址。这里Wintermute犯了一个严重错误,因为控制GnosisSafe多签钱包并不能保证控制EVM兼容链同一地址。

金色晚报 | 9月23日晚间重要动态一览:12:00-21:00关键词:委内瑞拉、工信部、以太坊2.0、波卡、SushiSwap

1. 委内瑞拉颁布法律管理所有比特币开采活动。

2. 黄奇帆:预计未来5年区块链带来的投资规模将是万亿级的。

3. 美国数字商会聘请前白宫官员加入董事会。

4. 工信部:鼓励语言区块链技术的应用。

5. 以太坊2.0新测试网Spadina达到验证节点门槛。

6. 波卡创始人:Kusama平行链拍卖会先于波卡平行链拍卖进行。

7. 日本央行行长:目前没有计划发行数字货币,但继续研究至关重要。

8. SushiSwap社区提议建立轮流更换激励池。[2020/9/23]

以太坊开发者KelvinFichter解释Wintermute被攻击原因

金色相对论 | 袁煜明:目前区块链产业结构上有底层基础设施和政策与标准两方面欠缺:在本期金色相对论中,针对“目前区块链产业结构上有哪些欠缺?”的问题,火币中国CEO袁煜明表示最主要是两部分,一个是底层基础设施,当然也在快速发展,但也还需要时间;一个是政策与标准,比如最高法18年9月公布了《最高人民法院关于互联网审理案件若干问题的规定》,就对司法存证的区块链应用起了很好的作用,很多行业还需要这样的政策和标准。[2020/3/3]

用户通常假设他们可以在以太坊上访问的任何帐户也可以在其他基于EVM的链上访问。对于外部拥有的账户,这通常是正确的。这不一定适用于智能合约账户。可以使用完全不同的代码在不同链上的相同地址创建合约,从而产生完全不同的所有者。

分析 | 金色盘面:BTC面临突破,短线维持观望:金色盘面独家分析:btc的30分钟形成了一个新的收缩三角形,我们看到多空双方在狭窄的空间内纠缠,随着时间推移,突破的压力越来越大,短线看并没有明确的方向性,需要等待突破后再做决定。上述分析仅限技术交流,不作为交易参考,投资者需要理性看待市场价格波动,做好风险控制。(登录金色财经APP—发现,查看更多币种的独家点评。)[2018/9/30]

EVM地址分为EOA和CA。合约地址又有两种方式获得:

CREATE?new_address=hash(sender,nonce)?

金色财经现场报道 OKEx CEO李书沸:多中心化交易所不一定优于中心化交易所:金色财经现场报道,在2018全球区块链精英峰会上,进行以《数字资产交易所的生态架构与发展趋势》为题的圆桌谈论,OKEx CEO李书沸指出:交易所在区块链行业中是重中之重,扮演很多角色。日本是最严格、最合规的国家,韩国会跟着日本走,美国的SEC监管也会越来越多,正规军将会进场。多中心化交易所不一定比中心化交易所好,因为TPS可能达不到要求,多中心化交易所的安全问题也是值得关注的,希望国家政策能更加明朗一些。[2018/4/28]

CREATE2new_address=hash(0xFF,sender,salt,bytecode)

与CREATE2不同,通过CREATE创建的合约地址不是基于用于创建合约的代码,而仅基于创建者地址的nonce。

看一下链上细节

1、13天前,Optimism团队从0x25地址测试发送1个OP给Wintermute发送给Optimism团队的地址0x4f

https://optimistic.etherscan.io/tokentxns?a=0x4f3a120e72c76c22ae802d129f599bfdbc31cb81&p=2

2、12天前,Optimism团队分两笔将1900万枚和100万枚OP发送给Wintermute。

直至此时,Wintermute还没有意识到他们没有这个地址的控制权。

3、WintermuteGnosisSafe多签钱包创建于561天前,

https://etherscan.io/tx/0xd705178d68551a6a6f65ca74363264b32150857a26dd62c27f3f96b8ec69ca01

多签合约地址为0x76e2cfc1f5fa8f6a5b3fc4c8f4788f0116861f9b。

从合约代码可知是通过CREATE而不是CREATE2创建的多重签名。

多签钱包地址即为0x4f。

4、4天前,攻击者将旧的Safefactory部署到Optimism。

并开始重复触发create函数以在L2上创建多重签名,进而控制了Optimism上的0x4f地址。

https://optimistic.etherscan.io/tx/0x00a3da68f0f6a69cb067f09c3f7e741a01636cbc27a84c603b468f65271d415b#internal

正如KelvinFichter所说,此事件不是Optimism或GnosisSafe中任何漏洞的结果,而是源于在多链之前旧版本的GnosisSafe中做出的安全假设。

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:0ms0-5:244ms