REA:2000万OP被盗事件安全启示:多签钱包使用者需警惕哪些风险?

6月9日,Optimism在社交媒体上公布,由于与加密货币做市商Wintermute合作过程中的沟通与技术失误,目前已有2000万枚OP被黑客控制。起初,由Optimism基金会向Wintermute发送2000万枚OP用于做市,而后Wintermute发现其提供的接收地址是Layer1地址,在Wintermute将其转向Layer2前,攻击者已抢先使用不同的初始化参数将其部署。截至目前,黑客已抛售约100万枚被盗OP。对此事件,以太坊开发者KelvinFichter解释了漏洞被攻击的原因,他表示,智能合约账户与EOA不同,普通EOA用户可以访问任意EVM链的账户,但智能合约账户不能。以下文字整理于KelvinFichter在社交媒体的发言。需要说明,此事件不是Optimism或GnosisSafe中任何漏洞的结果,而是源于在旧版本的GnosisSafe中做出的安全假设。旧版本的GnosisSafe工厂合约是通过没有链ID的交易部署的。这意味着可以在以太坊以外的链上重置这些交易。在某些方面,这真的很有用。这意味着可以将同一工厂部署到每条链上同一地址上。正如现在工厂被部署到Optimism。不幸的是,在使用这个较旧的工厂合约时,GnosisSafeUI有时会使用createProxy函数,该函数通过CREATE而不是CREATE2创建多重签名。与CREATE2不同,通过CREATE创建的合约地址不是基于用于创建合约的代码,而仅基于创建者地址的nonce。这意味着攻击者可以将旧的Safe工厂部署到Optimism并开始重新触发createProxy函数以在L2上创建多重签名。

报告:萨尔瓦多国营银行接受200台比特币ATM抵押150万美元贷款:金色财经报道,萨尔瓦多的一家国有银行向一家加密货币公司发放了超过 150 万美元的贷款,接受 200 台比特币(BTC) ATM 作为抵押品。该网站写道,它已经获得了证明Banco Hipotecario de El Salvador(萨尔瓦多抵押银行)已签署贷款的文件,该贷款对每台机器的估值为美元7,760。贷款质保期为36个月。根据报告,贷款条款表明,由 Eric Gravengaard 领导的已在萨尔瓦多推出数十台 BTC ATM 的公司Athena Bitcoin被添加为贷款交易的“有担保债权人或共同签署人” (cryptonews)[2022/2/8 9:36:43]

瓦特合约BTC正向永续合约最高杠杆倍数调整至200倍:据瓦特合约官方消息,为了满足更多用户的交易需求,瓦特合约将于新加坡时间2020年12月8日16:00调整BTC正向永续合约杠杆倍数至200倍,用户可根据自己的需要选择杠杆倍数,原有仓位不受影响。

同时提示广大交易用户:交易比特币正向永续合约时,平台默认下单为全仓200倍模式,请各位用户根据保证金合理选择杠杆倍数,控制风险。

瓦特合约风险提示:近期行情波动较大,请控制好仓位,做好风险管控。[2020/12/8 14:32:54]

一用户在半小时内通过交易Uniswap上bZx代币获利超2000枚ETH:安全工程师RomanStorm发推称,在半个小时多的时间里,一位用户在Uniswap上通过交易借贷协议bZx的代币BRZX获利2030枚ETH和30万个BZRX代币。具体操作步骤为,BZRX在Uniswap上市后,该用户通过智能合约第一时间用650个ETH购入逾196.61万个BZRX,兑换了流动池中BZRX的39.3%。两分钟后,该用户开始进行一系列出售行为,共计获利2030枚ETH和30万个BZRX代币。bZx回应称,这种问题的解决方案可能是像dFusion这样的批量拍卖,或是类似于荷兰式拍卖等方式。不过,这不是套利,与其他买方一样,机器人所有者也承担了巨大的资金风险。[2020/7/14]

但是,由于createProxy使用CREATE而不是CREATE2,因此攻击者能够初始化这些多重签名,从而使它们归攻击者所有。用户通常假设他们可以在以太坊上访问的任何帐户也可以在其他基于EVM的链上访问。对于EOA账户,这通常是正确的。但这不一定适用于智能合约账户。可以使用完全不同的代码在不同链上的相同地址创建合约,从而产生完全不同的所有者。像这样的误解会在现实世界中产生严重的后果。上周,Wintermute接受了2000万个OP代币的贷款,借给他们认为可以在L2上访问的L1多重签名钱包。这个L2地址是攻击者后来部署的多重签名之一。这些是多链世界的成长之痛。很不幸,但它强调了为多链用户设计系统的重要性。CREATE2和确定性部署至关重要,尤其是对于合约钱包。如果你在以太坊上使用多重签名钱包,我强烈建议你花时间了解钱包的安全属性,以及你是否会在以太坊以外的链上控制该钱包。原地址

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:31ms0-1:119ms