2022年7月1日,成都链安链必应-区块链安全态势感知平台舆情监测显示,OPtimism链的Quixotic项目遭受黑客攻击,黑客获利847个BNB。成都链安安全团队对事件进行了分析,结果如下。
据悉,Quixotic 是一个可以使用ERC20代币和NFT进行买卖的平台,本次攻击事件发生后,平台目前所有市场活动都已暂停。
NFT铸造聚合器mint.fun已支持铸造Zora Network和Optimism网络NFT:7月20日消息,Web3追踪工具Context推出的铸造聚合器mint.fun已支持铸造Zora Network和Optimism网络NFT,并在Optimism网络上推出可免费铸造的NFT,用户可在PT时间7月21日9:00前铸造。此外用户在mint.fun上铸造一个L2NFT,可获得10个积分,每个NFT系列最多可获得100积分。[2023/7/20 11:06:23]
?攻击者地址
攻击者:
0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5
数据:Optimism上AMM协议Velodrome TVL突破1亿美元:1月20日消息,据Defillama数据显示,Optimism 上 AMM 协议 Velodrome TVL 达 1.01 亿美元,创下自 2022 年 8 月份以来的新高。[2023/1/20 11:23:50]
攻击者合约:
0xbe81eabdbd437cba43e4c1c330c63022772c2520
?攻击交易
0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df
EV Battery Tech宣布收购加密挖矿基础设施公司Optimal CP:11月23日消息,区块链和电池技术公司Extreme Vehicle Battery Technologies Corp.(简称EV Battery Tech)宣布,其于11月22日签订一份股份交换协议,以收购专注于开发和管理加密挖矿设施的公司Optimal CP Inc.。EV Battery Tech将以每股0.25美元的价格向Optimal股东发行5500万股公司普通股,认定交易估值为1375万美元。(Globenewswire)[2021/11/23 22:12:03]
0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4
Findora公募启动2小时共募资约770万美元,Option C、D关闭:据官方消息,金融隐私公链Findora于12月28日公募起始2小时募集约770万美元。至12月30日,Option C、D已售罄关闭,五个Option共募集约2200万美元。
截至官方披露,目前共有来自50多个国家或地区的23000多名成功通过KYC认证,及其中6800多名认购者参与,此外Findora已于北京时间12月28日开放注册测试网2.0,拟于2021年一季度主网上线。
Findora旨在建造一个值得信赖的全球金融网络底层基础设施,任何金融应用程序的数据可在加密、高度安全且可审计的公有链上无缝交易。2020 年 8 月,Findora Foundation 宣布已完成数千万美元新一轮融资,由加密货币风投公司 Polychain Capital 领投,Krypital Group、Axia8 Ventures、Cabin VC、Powerscale Capital、Allchaineed等机构参投,HCM Capital 创始合伙人 Jack Lee 等个人及数个家族基金也参与了此次投资。[2020/12/31 16:10:07]
?被攻击合约:
0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6
1. 攻击者先创建NFT攻击合约,如图所示。
2.因为用户将ERC20代币过度授权给了ExchangeV4(被攻击合约),并且ExchangeV4合约存在漏洞。导致攻击者利用ExchangeV4合约的fillSellOrder函数进行NFT订单创建通过向用户出售攻击合约中的NFT来转移用户向ExchangeV4合约授权的代币。
3.攻击完成后,攻击者将所盗资产转移至Tornado.Cash。
本次攻击主要利用了在ExchangeV4合约中创建的NFT订单地址可以被指定,并且在交易中只验证了卖方签名就进行转账,导致用户在有向ExchangeV4进行ERC20代币授权的情况下,攻击者可以创建自己的NFT单方面进行交易,将虚假的NFT转移给用户换出用户向ExchangeV4合约授权的代币。
在fillSellOrder函数中,攻击者可以指定出售的NFT地址,并且在验证中只验证了攻击者的签名,而未验证买方的签名。那么攻击者可以通过验证,并在调用_fillSellOrder函数时,将攻击合约的NFT转移给买方,并执行_sendERC20PaymentsWithRoyalties函数转移买方向合约授权的ERC20代币
截止发文时,攻击者获利约847个BNB,当前攻击者已将所盗资金向Tornado.Cash转移。
针对本次事件,成都链安安全团队建议:
1.在实现签名交易的功能时,需要验证买卖双方的签名。
2.用户需要避免过度授权保证财产安全。
3.项目上线前,建议选择专业的安全审计公司进行全面的安全审计,以规避安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。