2022年6月9日,做市商Wintermute透露,Optimism发送给其做市的2000万个OP代币被黑客盗取。丢失始末请看金色财经此前报道。
简单概括就是
两周前,OptimismFoundation聘请Wintermute为其在中心化交易所上市的OP代币提供流动性。作为协议的一部分,Wintermute获得了2000万枚OP贷款。
这2000万枚OP将被部署在Wintermute的Optimism钱包。当Wintermute将钱包地址发给Optimism团队时,发送的是Wintermute在主网上部署了一段时间的GnosisSafe多签钱包地址。这里Wintermute犯了一个严重错误,因为控制GnosisSafe多签钱包并不能保证控制EVM兼容链同一地址。
Input Output推出用于在Cardano上开发自定义侧链的工具包:1月13日消息,据官方博客,Cardano开发团队Input Output宣布推出一个用于在Cardano上开发自定义侧链的工具包。官方使用该工具包构建了一个与EVM兼容的侧链公共测试网作为概念证明,侧链使Cardano可扩展且更具可扩展性,而不会影响主链的稳定性或安全性。EVM侧链应用程序仍在审核中,它将在1月下旬作为公共测试网提供。
该工具包允许侧链拥有自己的共识算法和功能。侧链通过允许链间资产转移的桥梁连接到主链,区块的最终性是通过依赖于主链安全的共识机制来确定的。区块链开发人员、DApp开发人员、权益池运营商 (SPO)和DApp用户都可以从自定义侧链中受益。对于DApp开发人员,自定义侧链在互操作性、可扩展性、可测试性和兼容性方面具有优势。[2023/1/13 11:09:58]
以太坊开发者KelvinFichter解释Wintermute被攻击原因
10月Ronin链上NFT销售额不足14万美元,创迄今最低纪录:金色财经报道,据cryptoslam数据显示,10月Ronin链上NFT销售额仅为138,490.17美元,创下迄今为止最低单月销售额记录。此外,10月Ronin链上NFT交易总量为7,592笔,独立买家2,864个,独立卖家2,212个,链上单笔交易均价约为10.28美元(也创下迄今为止的最低纪录)。[2022/11/2 12:07:32]
用户通常假设他们可以在以太坊上访问的任何帐户也可以在其他基于EVM的链上访问。对于外部拥有的账户,这通常是正确的。这不一定适用于智能合约账户。可以使用完全不同的代码在不同链上的相同地址创建合约,从而产生完全不同的所有者。
EVM地址分为EOA和CA。合约地址又有两种方式获得:
分析师:以太坊有进一步下跌31%的风险:金色财经报道,来自加密货币期货市场的数据显示,许多投资者似乎在合并后的几个小时内平仓了对冲头寸,根据Crypto分析师Ali Martinez的说法,如果ETH跌破 1460 美元的支撑位,可能会进一步跌至1000 美元,较当前价格下跌 31%。 在合并之前,Glassnode 报告说,9 月之后的期货和期权向后移动表明在事件发生之前存在“卖新闻”的假设。链上分析公司Glassnode还强调,即期货交易者在合并后以折扣价定价ETH,并愿意为下行保护支付溢价。这是基于合并事件后通过期权对 ETH 敞口的需求相对较低。[2022/9/16 7:02:15]
CREATE?new_address=hash(sender,nonce)?
德国电信将NFT用于支持欧洲各地的青年志愿者项目:7月8日消息,Deutsche Telekom(德国电信)正在将NFT用于支持欧洲各地的青年志愿者项目。“#WhatWeValue”是与Saatchi & Saatchi共同开发的,旨在将NFT转变为一种更广泛的社会公益机制。
该计划以一个新的数字社区为基础,邀请来自欧洲各地18-30岁的志愿者领导各种项目,从性别和气候变化到城市复兴。这些项目将被指定为“Value NFT”,传达了实际利益,包括来自德国电信的定制支持,以及接触到志同道合的人组成的Discord社区。(The Drum)[2022/7/8 2:00:38]
CREATE2new_address=hash(0xFF,sender,salt,bytecode)
与CREATE2不同,通过CREATE创建的合约地址不是基于用于创建合约的代码,而仅基于创建者地址的nonce。
看一下链上细节
1、13天前,Optimism团队从0x25地址测试发送1个OP给Wintermute发送给Optimism团队的地址0x4f
https://optimistic.etherscan.io/tokentxns?a=0x4f3a120e72c76c22ae802d129f599bfdbc31cb81&p=2
2、12天前,Optimism团队分两笔将1900万枚和100万枚OP发送给Wintermute。
直至此时,Wintermute还没有意识到他们没有这个地址的控制权。
3、WintermuteGnosisSafe多签钱包创建于561天前,
https://etherscan.io/tx/0xd705178d68551a6a6f65ca74363264b32150857a26dd62c27f3f96b8ec69ca01
多签合约地址为0x76e2cfc1f5fa8f6a5b3fc4c8f4788f0116861f9b。
从合约代码可知是通过CREATE而不是CREATE2创建的多重签名。
多签钱包地址即为0x4f。
4、4天前,攻击者将旧的Safefactory部署到Optimism。
并开始重复触发create函数以在L2上创建多重签名,进而控制了Optimism上的0x4f地址。
https://optimistic.etherscan.io/tx/0x00a3da68f0f6a69cb067f09c3f7e741a01636cbc27a84c603b468f65271d415b#internal
正如KelvinFichter所说,此事件不是Optimism或GnosisSafe中任何漏洞的结果,而是源于在多链之前旧版本的GnosisSafe中做出的安全假设。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。