以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

2000萬OP被盜事件安全啟示:多簽錢包使用者需警惕哪些風險?_EAT:Yucreat

Author:

Time:1900/1/1 0:00:00

6月9日,Optimism在社交媒體上公布,由于與加密貨幣做市商Wintermute合作過程中的溝通與技術失誤,目前已有2000萬枚OP被黑客控制。起初,由Optimism基金會向Wintermute發送2000萬枚OP用于做市,而后Wintermute發現其提供的接收地址是Layer1地址,在Wintermute將其轉向Layer2前,攻擊者已搶先使用不同的初始化參數將其部署。截至目前,黑客已拋售約100萬枚被盜OP。

對此事件,以太坊開發者KelvinFichter解釋了漏洞被攻擊的原因,他表示,智能合約賬戶與EOA不同,普通EOA用戶可以訪問任意EVM鏈的賬戶,但智能合約賬戶不能。以下文字整理于KelvinFichter在社交媒體的發言。

美國參議員提議將PayPal和CashApp付款的報稅門檻從600美元改為10000美元:金色財經報道,兩位美國參議員提議將Venmo、PayPal和CashApp付款的報稅門檻從600美元改為10000美元。[2022/12/25 22:06:45]

需要說明,此事件不是Optimism或GnosisSafe中任何漏洞的結果,而是源于在舊版本的GnosisSafe中做出的安全假設。

舊版本的GnosisSafe工廠合約是通過沒有鏈ID的交易部署的。這意味著可以在以太坊以外的鏈上重置這些交易。在某些方面,這真的很有用。這意味著可以將同一工廠部署到每條鏈上同一地址上。正如現在工廠被部署到Optimism。

Tether于波場網絡增發10億枚USDT:10月31日消息,據Whale Alert數據顯示,Stablecoin發行商Tether于北京時間10月31日19:54在波場增發10億枚USDT。Tether首席技術官Paolo Ardoino補充表示,這是一筆已授權但未發行的交易,意味著本次增發將用于下一次發行請求和鏈上交互。[2022/11/1 12:02:38]

不幸的是,在使用這個較舊的工廠合約時,GnosisSafeUI有時會使用createProxy函數,該函數通過CREATE而不是CREATE2創建多重簽名。與CREATE2不同,通過CREATE創建的合約地址不是基于用于創建合約的代碼,而僅基于創建者地址的nonce。這意味著攻擊者可以將舊的Safe工廠部署到Optimism并開始重新觸發createProxy函數以在L2上創建多重簽名。

Beosin:XaveFinance項目遭受黑客攻擊事件分析:金色財經報道,據Beosin EagleEye平臺監測顯示,XaveFinance項目遭受黑客攻擊,導致RNBW增發了1000倍。攻擊交易為0xc18ec2eb7d41638d9982281e766945d0428aaeda6211b4ccb6626ea7cff31f4a。Beosin安全團隊分析發現攻擊者首先創建攻擊合約0xe167cdaac8718b90c03cf2cb75dc976e24ee86d3,該攻擊合約首先調用DaoModule合約0x8f90的executeProposalWithIndex()函數執行提案,提案內容為調用mint()函數鑄造100,000,000,000,000個RNBW,并將ownership權限轉移給攻擊者。最后黑客將其兌換為xRNBW,存放在攻擊者地址上(0x0f44f3489D17e42ab13A6beb76E57813081fc1E2)。目前被盜資金還存放在攻擊者地址,Beosin Trace將對被盜資金進行持續追蹤。[2022/10/9 12:50:38]

但是,由于createProxy使用CREATE而不是CREATE2,因此攻擊者能夠初始化這些多重簽名,從而使它們歸攻擊者所有。

用戶通常假設他們可以在以太坊上訪問的任何帳戶也可以在其他基于EVM的鏈上訪問。對于EOA賬戶,這通常是正確的。但這不一定適用于智能合約賬戶。可以使用完全不同的代碼在不同鏈上的相同地址創建合約,從而產生完全不同的所有者。

像這樣的誤解會在現實世界中產生嚴重的后果。上周,Wintermute接受了2000萬個OP代幣的貸款,借給他們認為可以在L2上訪問的L1多重簽名錢包。這個L2地址是攻擊者后來部署的多重簽名之一。

這些是多鏈世界的成長之痛。很不幸,但它強調了為多鏈用戶設計系統的重要性。CREATE2和確定性部署至關重要,尤其是對于合約錢包。

如果你在以太坊上使用多重簽名錢包,我強烈建議你花時間了解錢包的安全屬性,以及你是否會在以太坊以外的鏈上控制該錢包。

來源:金色財經

Tags:CREACREEATREAYucreatDecredWHEAT幣iht-real-estate-protocol

比特幣交易
金色觀察|2000萬OP被盜:丟失始末以及最新進展_TIM:OPT

今日凌晨,Optimism與加密貨幣做市商Wintermute透露,2000萬個Optimism代幣被黑客盜取.

1900/1/1 0:00:00
MimbleWimble 為萊特幣增加了新功能:但一些交易所猶豫不決

大家好 我是幣圈小沫沫~ 萊特幣可能最近激活了期待已久的基于隱私的升級,但并非沒有產生一些監管合規問題。 萊特幣是比特幣(BTC)之后出現的最早的替代硬幣(altcoins)之一.

1900/1/1 0:00:00
世界海洋日藏品預告 | 與星啟數藏一同守護蔚藍之光_ARB:SHARBI

海洋,是生命的搖籃、資源的寶庫,是人類賴以生存的藍色家園。第63屆聯合國大會上將每年的6月8日確定為“世界海洋日”.

1900/1/1 0:00:00
數字人民幣持續推進 帶來哪些利好?_數字人:MIS

當前,隨著數字人民幣試點地區范圍的擴大,其應用場景也在擴容,除了覆蓋生活、商業場景之外,在稅務、政務、借貸、對公等領域的試點正加速落地.

1900/1/1 0:00:00
機構準備放棄stETH交易池 ? 目前已經嚴重脫錨_stETH:TET

今天來聊聊StETH/ETH的事情,也就是交易對流動性即將耗盡。顧名思義,stETH是ETH上的質押版本,其目的就是為了保護合并后的ETH安全.

1900/1/1 0:00:00
CB領投 歐意 芝麻開門投資豪華陣容 Subspace Labs——Web3擴展解決方案 震撼來襲_SUBS:SPACE

SubspaceLabs簡介SubspaceLabs為波卡網絡開發激勵兼容incentivecompatible的PoC共識算法以及可擴展的,永續去中心化存儲.

1900/1/1 0:00:00
ads