2022年7月1日,成都链安链必应-区块链安全态势感知平台舆情监测显示,OPtimism链的Quixotic项目遭受黑客攻击,黑客获利847个BNB。成都链安安全团队对事件进行了分析,结果如下。
事件相关信息
据悉,Quixotic是一个可以使用ERC20代币和NFT进行买卖的平台,本次攻击事件发生后,平台目前所有市场活动都已暂停。
Optimism:将在公共端点上禁用WebSocket服务:金色财经报道,以太坊L2 Optimism在官方推特表示,为了解决持续滥用公共端点问题,出于谨慎考虑并保护正常的HTTP流量,Optimism将在公共端点上禁用WebSocket服务支持,后续如果需要WebSocket支持可使用Alchemy等基础设施提供商,Optimism建议项目运行自己的节点或选择使用来自可信赖合作伙伴的基础设施解决方案。[2023/2/23 12:24:17]
?攻击者地址
攻击者:
0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5
Optimism生态NFT市场Quix宣布代码库开源:金色财经报道,Optimism生态NFT市场Quix在社交媒体宣布代码库开源,涉及NFT交易平台、NFT索引器和Launchpad的前端和后端代码,现在任何开发者都可以进行部署和拓展。Quix于去年11月称每月基础设施成本已超过收入因此计划在2023年2月终止运营,并结束了交易激励机制,Quix将与Optimism基金会合作,以确保平稳过渡,其团队致力于维持运营到2023年2月28日。[2023/2/18 12:14:51]
攻击者合约:
0xbe81eabdbd437cba43e4c1c330c63022772c2520
Optimism上AMM协议Velodrome正式上线,已启动空投申领:6月2日消息,由Solidly生态项目veDAO推出的以Solidly为模板的Optimism上AMM协议Velodrome正式上线,并已启动代币空投申领。[2022/6/2 3:57:24]
?攻击交易
0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df
0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4
欧易OKX首发上线Optimism (OP):据官方消息,欧易OKX将于5月31日20:00(HKT)开放Optimism代币OP充值,将于6月2日18:00(HKT)开放提现,平台将在用户充值数量符合开通交易的情况下第一时间上线交易。此外,欧易OKX是首家接入Optimism网络的交易所,用户可在欧易和Optimism网络之间转移资金。
据悉,Optimism是以太坊Layer2扩容解决方案之一,旨在建立基于Optimistic Rollup技术的以太坊网络和Optimistic虚拟机来扩展以太坊,降低以太坊应用程序上的交易费用、提高交易效率及安全性。[2022/6/1 3:53:56]
?被攻击合约:
0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6
#攻击过程
1.攻击者先创建NFT攻击合约,如图所示。
2.因为用户将ERC20代币过度授权给了ExchangeV4,并且ExchangeV4合约存在漏洞。导致攻击者利用ExchangeV4合约的fillSellOrder函数进行NFT订单创建通过向用户出售攻击合约中的NFT来转移用户向ExchangeV4合约授权的代币。
3.攻击完成后,攻击者将所盗资产转移至Tornado.Cash。
漏洞分析
本次攻击主要利用了在ExchangeV4合约中创建的NFT订单地址可以被指定,并且在交易中只验证了卖方签名就进行转账,导致用户在有向ExchangeV4进行ERC20代币授权的情况下,攻击者可以创建自己的NFT单方面进行交易,将虚假的NFT转移给用户换出用户向ExchangeV4合约授权的代币。
在fillSellOrder函数中,攻击者可以指定出售的NFT地址,并且在验证中只验证了攻击者的签名,而未验证买方的签名。那么攻击者可以通过验证,并在调用_fillSellOrder函数时,将攻击合约的NFT转移给买方,并执行_sendERC20PaymentsWithRoyalties函数转移买方向合约授权的ERC20代币
资金追踪
截止发文时,攻击者获利约847个BNB,当前攻击者已将所盗资金向Tornado.Cash转移。
总结
针对本次事件,成都链安安全团队建议:
1.在实现签名交易的功能时,需要验证买卖双方的签名。
2.用户需要避免过度授权保证财产安全。
3.项目上线前,建议选择专业的安全审计公司进行全面的安全审计,以规避安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。