金色前哨｜2000萬OP因何被盜 來看看鏈上細節_TER:OPTIG

2022年6月9日，做市商Wintermute透露，Optimism發送給其做市的2000萬個OP代幣被黑客盜取。丟失始末請看金色財經此前報道。

簡單概括就是

兩周前，OptimismFoundation聘請Wintermute為其在中心化交易所上市的OP代幣提供流動性。作為協議的一部分，Wintermute獲得了2000萬枚OP貸款。

這2000萬枚OP將被部署在Wintermute的Optimism錢包。當Wintermute將錢包地址發給Optimism團隊時，發送的是Wintermute在主網上部署了一段時間的GnosisSafe多簽錢包地址。這里Wintermute犯了一個嚴重錯誤，因為控制GnosisSafe多簽錢包并不能保證控制EVM兼容鏈同一地址。

金色晨訊丨4月26日隔夜重要動態一覽:21:00-7:00關鍵詞：工信部、DC/EP、V神、Bitstamp

1.工信部：積極應用區塊鏈等現代技術推動政府治理能力和治理體系現代化

2.鄒傳偉：在DC/EP中區塊鏈用于數字貨幣的確權登記居于輔助地位

3.西南財大陳文：短期DC/EP使銀聯等清算機構邊緣化可能性較低

4.分析：未來有支付經驗和牌照的服務商有望介入DC/EP產業鏈

5.V神：以太坊即將過時的采礦硬件可以直接用于零知識證明

6.Bitstamp因技術問題已暫停交易

7.外媒：數據顯示DeFi及OFI初創公司近一半總部位于美國

8.F2Pool全球業務主管：比特幣到2020年12月將會有總體看漲的趨勢

9.比特幣窄幅震蕩，日內最高報7566.75美元，最低報7480美元。[2020/4/26]

以太坊開發者KelvinFichter解釋Wintermute被攻擊原因

BiKi與金色財經聯合出品“交易公開課”第七期課程將于24日開課:BiKi與金色財經聯合出品交易公開課第七期課程于4月24日20：00線上開課，本期課程為《用數據解剖莊家本質》，由貓姐授課。本次課程講師貓姐為BiKi交易學院首席金牌教學顧問，BiKi金牌經紀人，貓姐社區創始人，均值震蕩操作公式創始人。

BiKi永續合約現已開放BTC、ETH、EOS、XRP、LTC、BCH、BSV永續合約交易，更多精彩敬請期待。[2020/4/23]

用戶通常假設他們可以在以太坊上訪問的任何帳戶也可以在其他基于EVM的鏈上訪問。對于外部擁有的賬戶，這通常是正確的。這不一定適用于智能合約賬戶。可以使用完全不同的代碼在不同鏈上的相同地址創建合約，從而產生完全不同的所有者。

金色相對論 | 李剛強：STO需要一整套的監管體系來避免出現“類ICO”亂象:本期金色相對論中，Sharex創始人，Y Community Token Fund合伙人李剛強就“STO來襲將如何影響市場”的問題發表看法，李剛強表示，在股權市場上，主要原因是傳統資本市場主要依靠IPO的退出方式完全不能滿足投資人的訴求。IPO比例低，周期長，使得全球積累了超過70萬億美金的股權資產無法得到有效流通。

在債務和房地產市場，主要原因在于投資門檻過高，使得大量人員無法參與其中的投資，市場積累了100萬億美元債權資產、230萬億美元房地產資產無法得到有效流通。

這使得人們呼喚新的退出方式，無論是ICO還是STO，都是新的嘗試。

而監管部門要為STO建立一整套的監管體系，比如信息披露機制、防止老鼠倉、操縱股價，虛假信息等。這些監管體系和懲罰機制不形成，又會出現ICO的大量亂象。[2018/10/12]

EVM地址分為EOA和CA。合約地址又有兩種方式獲得：

分析 | 金色盤面：IOTA自日內低點快速反彈:金色盤面分析師表示：IOTA在日內跌出新低0.78美元后快速反彈至0.93美元，現報0.89美元，波幅較大，注意交易風險，上方短線阻力關注0.93美元，下方支撐關注0.78美元。[2018/8/3]

CREATE?new_address=hash(sender,nonce)?

CREATE2new_address=hash(0xFF,sender,salt,bytecode)

與CREATE2不同，通過CREATE創建的合約地址不是基于用于創建合約的代碼，而僅基于創建者地址的nonce。

看一下鏈上細節

1、13天前，Optimism團隊從0x25地址測試發送1個OP給Wintermute發送給Optimism團隊的地址0x4f

https://optimistic.etherscan.io/tokentxns?a=0x4f3a120e72c76c22ae802d129f599bfdbc31cb81&p=2

2、12天前，Optimism團隊分兩筆將1900萬枚和100萬枚OP發送給Wintermute。

直至此時，Wintermute還沒有意識到他們沒有這個地址的控制權。

3、WintermuteGnosisSafe多簽錢包創建于561天前，

https://etherscan.io/tx/0xd705178d68551a6a6f65ca74363264b32150857a26dd62c27f3f96b8ec69ca01

多簽合約地址為0x76e2cfc1f5fa8f6a5b3fc4c8f4788f0116861f9b。

從合約代碼可知是通過CREATE而不是CREATE2創建的多重簽名。

多簽錢包地址即為0x4f。

4、4天前，攻擊者將舊的Safefactory部署到Optimism。

并開始重復觸發create函數以在L2上創建多重簽名，進而控制了Optimism上的0x4f地址。

https://optimistic.etherscan.io/tx/0x00a3da68f0f6a69cb067f09c3f7e741a01636cbc27a84c603b468f65271d415b#internal

正如KelvinFichter所說，此事件不是Optimism或GnosisSafe中任何漏洞的結果，而是源于在多鏈之前舊版本的GnosisSafe中做出的安全假設。

Tags：TERINTINTEROPTtera幣最高價格cointigertopInterest Bearing BitcoinOPTIG

AAVE