2022年6月9日,做市商Wintermute透露,Optimism发送给其做市的2000万个OP代币被黑客盗取。丢失始末请看金色财经此前报道。
简单概括就是
两周前,OptimismFoundation聘请Wintermute为其在中心化交易所上市的OP代币提供流动性。作为协议的一部分,Wintermute获得了2000万枚OP贷款。
这2000万枚OP将被部署在Wintermute的Optimism钱包。当Wintermute将钱包地址发给Optimism团队时,发送的是Wintermute在主网上部署了一段时间的GnosisSafe多签钱包地址。这里Wintermute犯了一个严重错误,因为控制GnosisSafe多签钱包并不能保证控制EVM兼容链同一地址。
金色午报 | 6月20日午间重要动态一览:7:00-12:00关键词:挖矿、南非FNB、尼日利亚央行
1.华擎推出加密货币挖矿主板H510 Pro BTC+;
2.南非金融机构FNB否认与近期倒闭的加密投资公司Africrypt存在银行业务关系;
3.本周灰度增持3131.11枚BCH,6339.57枚LTC;
4.Polygon研究员发起在Polygon中适用EIP-1559的提案;
5.经济学专家:尼日利亚央行年底前推出数字货币计划不现实。[2021/6/20 23:50:50]
以太坊开发者KelvinFichter解释Wintermute被攻击原因
金色晚报 | 10月23日晚间重要动态一览:12:00-21:00关键词:央行意见稿、以太坊2.0、工信部闻库R3、浙江嘉兴法院
1. 央行意见稿:禁止任何单位和个人制作、发售代币票券和数字代币。
2. 以太坊2.0项目负责人:以太坊2.0存款合约将在两周内推出。
3. 工信部闻库:加快推动区块链等新一代信息技术在工业互联网的应用。
4. 建行行长刘桂平:将在数字金融、数字货币等前沿领域积极探索。
5. 日本央行官员:发行数字货币首先需要获得公众支持。
6. 破获价值1.2亿人民币USDT跨境网络案件,77人被捕。
7. 俄总统信息技术顾问:若现在开发,俄罗斯央行CBDC将在三到七年内成为现实。
8. 浙江嘉兴法院用区块链技术实现物证数据化管理。[2020/10/23]
用户通常假设他们可以在以太坊上访问的任何帐户也可以在其他基于EVM的链上访问。对于外部拥有的账户,这通常是正确的。这不一定适用于智能合约账户。可以使用完全不同的代码在不同链上的相同地址创建合约,从而产生完全不同的所有者。
金色相对论 | 肖臻:央行推出数字货币更多是为了应对美元霸权通过Libra、Walmart之类数字货币的渗透:在今日举行的金色相对论中,关于“央行发行的数字货币对老百姓的日常生活会有什么影响”的问题,北京大学计算机系研究员、博士生导师肖臻表示,短期内不会有多大影响,可能会增强老百姓对数字货币的认知程度。央行推出数字货币更多是从国家战略层面的考虑,为了应对美元霸权通过Libra、Walmart之类数字货币的渗透,可以认为是中美大国博弈的一部分。数字货币跟电子支付还是不太一样的,电子支付仍然是通过法币和传统的商业银行进行结算的,并不是真正意义下的资产数字化。等到央行的数字货币普及之后,我估计也会出现类似于支付宝、微信之类的支付手段。[2019/8/15]
EVM地址分为EOA和CA。合约地址又有两种方式获得:
分析 | 金色盘面:BTC季度合约持仓迅速增加:金色盘面综合分析:BTC季度合约13时开始持仓量迅速增加,到17时增加了627个比特币(约40511张)的期货合约。说明比特币市场情绪企稳,或进入调整振荡运行行情。[2018/8/8]
CREATE?new_address=hash(sender,nonce)?
CREATE2new_address=hash(0xFF,sender,salt,bytecode)
与CREATE2不同,通过CREATE创建的合约地址不是基于用于创建合约的代码,而仅基于创建者地址的nonce。
看一下链上细节
1、13天前,Optimism团队从0x25地址测试发送1个OP给Wintermute发送给Optimism团队的地址0x4f
https://optimistic.etherscan.io/tokentxns?a=0x4f3a120e72c76c22ae802d129f599bfdbc31cb81&p=2
2、12天前,Optimism团队分两笔将1900万枚和100万枚OP发送给Wintermute。
直至此时,Wintermute还没有意识到他们没有这个地址的控制权。
3、WintermuteGnosisSafe多签钱包创建于561天前,
https://etherscan.io/tx/0xd705178d68551a6a6f65ca74363264b32150857a26dd62c27f3f96b8ec69ca01
多签合约地址为0x76e2cfc1f5fa8f6a5b3fc4c8f4788f0116861f9b。
从合约代码可知是通过CREATE而不是CREATE2创建的多重签名。
多签钱包地址即为0x4f。
4、4天前,攻击者将旧的Safefactory部署到Optimism。
并开始重复触发create函数以在L2上创建多重签名,进而控制了Optimism上的0x4f地址。
https://optimistic.etherscan.io/tx/0x00a3da68f0f6a69cb067f09c3f7e741a01636cbc27a84c603b468f65271d415b#internal
正如KelvinFichter所说,此事件不是Optimism或GnosisSafe中任何漏洞的结果,而是源于在多链之前旧版本的GnosisSafe中做出的安全假设。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。