OPT:OPtimism链的Quixotic项目遭受黑客事件分析

2022年7月1日,成都链安链必应-区块链安全态势感知平台舆情监测显示,OPtimism链的Quixotic项目遭受黑客攻击,黑客获利847个BNB。成都链安安全团队对事件进行了分析,结果如下。

事件相关信息

据悉,Quixotic是一个可以使用ERC20代币和NFT进行买卖的平台,本次攻击事件发生后,平台目前所有市场活动都已暂停。

去中心化交易平台 Clipper 现已扩展至 Optimism:2月15日消息,去中心化交易平台 Clipper 官方宣布网络现已扩展至 Optimism,Clipper 用户可以更低的成本和更快的速度处理交易。为集成到Optimism,Clipper 编写了使用压缩调用数据的自定义方法,这将 Clipper 交易成本降低了约 50%。此外,Clipper 将为 Optimism 流动性提供者推出新的 CLP。[2022/2/15 9:52:33]

?攻击者地址

攻击者:

0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5

攻击者合约:

0xbe81eabdbd437cba43e4c1c330c63022772c2520

?攻击交易

Optics智能合约V1在Celo、Ethereum、Polygon正式部署:9月14日消息,开源支付网络Celo推出的跨链通信互操作机制Optics智能合约V1在Celo、Ethereum、Polygon正式部署,Optics利用optimistic桥机制来实现链之间更便宜的通信,同时仍然保持去中心化。用户已经可以直接与合约交互以在以上3个链之间发送ERC-20代币。Optics包括一个3小时的争议窗口来检测任何欺诈,因此大约需要3小时 + 主链上的任何确认时间才能看到资金在目标链上结算。

此前消息,开源支付网络Celo推出的跨链通信机制Optics已在一些测试网部署。[2021/9/14 23:23:41]

0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df

美元稳定币 DAI 合约已部署至以太坊扩容方案 Optimism:MakerDAO 智能合约工程师 Brian McMichael 在推特上表示,以太坊扩容方案 Optimism 的 Layer 2 桥已部署至 MakerDAO 主网并进行最后的测试,美元稳定币 DAI 的合约已部署至 Optimism。[2021/7/9 0:39:34]

0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4

?被攻击合约:

0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6

#攻击过程

1.攻击者先创建NFT攻击合约,如图所示。

Casper Option1已售罄,Option2从3月25日开始销售:3月23日消息,CasperLabs今天在CoinList进行代币销售,目前Option1的8万枚代币已经售罄,这8亿枚CSPR代币将锁定1年,从明年4月1日开始分6个月释放完毕。Option2将在3月25日开始销售,销售4亿枚,锁定6个月,分6个月释放完毕。Option3将在3月26日开始销售,销售4亿枚,4月1日起分40天释放且不锁定。[2021/3/23 19:11:27]

2.因为用户将ERC20代币过度授权给了ExchangeV4,并且ExchangeV4合约存在漏洞。导致攻击者利用ExchangeV4合约的fillSellOrder函数进行NFT订单创建通过向用户出售攻击合约中的NFT来转移用户向ExchangeV4合约授权的代币。

3.攻击完成后,攻击者将所盗资产转移至Tornado.Cash。

漏洞分析

本次攻击主要利用了在ExchangeV4合约中创建的NFT订单地址可以被指定,并且在交易中只验证了卖方签名就进行转账,导致用户在有向ExchangeV4进行ERC20代币授权的情况下,攻击者可以创建自己的NFT单方面进行交易,将虚假的NFT转移给用户换出用户向ExchangeV4合约授权的代币。

在fillSellOrder函数中,攻击者可以指定出售的NFT地址,并且在验证中只验证了攻击者的签名,而未验证买方的签名。那么攻击者可以通过验证,并在调用_fillSellOrder函数时,将攻击合约的NFT转移给买方,并执行_sendERC20PaymentsWithRoyalties函数转移买方向合约授权的ERC20代币

资金追踪

截止发文时,攻击者获利约847个BNB,当前攻击者已将所盗资金向Tornado.Cash转移。

总结

针对本次事件,成都链安安全团队建议:

1.在实现签名交易的功能时,需要验证买卖双方的签名。

2.用户需要避免过度授权保证财产安全。

3.项目上线前,建议选择专业的安全审计公司进行全面的安全审计,以规避安全风险。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:15ms0-1:3ms