2000万OP被盗事件安全启示:多签钱包使用者需警惕哪些风险?_元宇宙:REA

6月9日,Optimism在社交媒体上公布,由于与加密货币做市商Wintermute合作过程中的沟通与技术失误,目前已有2000万枚OP被黑客控制。起初,由Optimism基金会向Wintermute发送2000万枚OP用于做市,而后Wintermute发现其提供的接收地址是Layer1地址,在Wintermute将其转向Layer2前,攻击者已抢先使用不同的初始化参数将其部署。截至目前,黑客已抛售约100万枚被盗OP。

对此事件,以太坊开发者KelvinFichter解释了漏洞被攻击的原因,他表示,智能合约账户与EOA不同,普通EOA用户可以访问任意EVM链的账户,但智能合约账户不能。以下文字整理于KelvinFichter在社交媒体的发言。

Meta:到2035年,元宇宙可能每年为全球带来3.6万亿美元GDP:5月10日消息,Meta发布关于元宇宙经济潜力的报告,报告中称Metaverse处于发展的早期阶段,但可看到它在教育、游戏、健康和商业等领域的潜力,并分析了元宇宙在全球范围内带来的经济机会,称到2035年,元宇宙可能为全球经济收益带来每年3.6万亿美元的额外GDP。[2023/5/10 14:54:15]

需要说明,此事件不是Optimism或GnosisSafe中任何漏洞的结果,而是源于在旧版本的GnosisSafe中做出的安全假设。

人权活动专家敦促Meta为元宇宙引入年龄限制:金色财经报道,数十个倡导组织和互联网安全组织呼吁 Meta Corporation 停止允许未成年人进入 Horizo n Worlds metaverse 的计划。该公司于 2 月开始计划向 13 至 17 岁的用户开放其数字世界。目前,该应用程序仅适用于 18 岁。

活动人士认为,在已经处于早期发展阶段的元宇宙中,未成年人可能会面临骚扰和虐待。Meta 必须等待更多关于元宇宙潜在风险的研究,以确保儿童和青少年的安全。[2023/4/14 14:04:55]

旧版本的GnosisSafe工厂合约是通过没有链ID的交易部署的。这意味着可以在以太坊以外的链上重置这些交易。在某些方面,这真的很有用。这意味着可以将同一工厂部署到每条链上同一地址上。正如现在工厂被部署到Optimism。

清华大学沈阳:区块链搭建元宇宙的经济体系:12月26日,由中国摄影家协会影像产业委员会主办,中国摄影出版社、视觉中国承办的“影像产业新趋势:“区块链+”影像产业新趋势研讨会在京举行。会上,清华大学新媒体研究中心执行主任沈阳以《区块链、NFT与元宇宙》为题进行分享。他指出,元宇宙是整合多种新技术而产生的新型虚实相融的互联网应用和社会形态,它基于扩展现实技术提供沉浸式体验,基于数字孪生技术生成现实世界的镜像,基于区块链技术搭建经济体系,将虚拟世界和现实世界在经济系统、社交系统、身份系统上密切融合,并允许每个用户进行内容生产和世界编辑。元宇宙仍是一个不断发展、演变的概念,不同参与者以自己的方式不断丰富着它的含义。

在沈阳看来,元宇宙不断向着“虚实融生”的方向发展。元宇宙的价值源与区块链有着密切的关联性,如土地经济等。

沈阳表示元宇宙存在着一定的风险,如资本操纵、算力压力、隐私风险、知识产权、沉迷风险等等问题,因此引入区块链技术十分关键。[2021/12/26 8:04:39]

不幸的是,在使用这个较旧的工厂合约时,GnosisSafeUI有时会使用createProxy函数,该函数通过CREATE而不是CREATE2创建多重签名。与CREATE2不同,通过CREATE创建的合约地址不是基于用于创建合约的代码,而仅基于创建者地址的nonce。这意味着攻击者可以将旧的Safe工厂部署到Optimism并开始重新触发createProxy函数以在L2上创建多重签名。

但是,由于createProxy使用CREATE而不是CREATE2,因此攻击者能够初始化这些多重签名,从而使它们归攻击者所有。

用户通常假设他们可以在以太坊上访问的任何帐户也可以在其他基于EVM的链上访问。对于EOA账户,这通常是正确的。但这不一定适用于智能合约账户。可以使用完全不同的代码在不同链上的相同地址创建合约,从而产生完全不同的所有者。

像这样的误解会在现实世界中产生严重的后果。上周,Wintermute接受了2000万个OP代币的贷款,借给他们认为可以在L2上访问的L1多重签名钱包。这个L2地址是攻击者后来部署的多重签名之一。

这些是多链世界的成长之痛。很不幸,但它强调了为多链用户设计系统的重要性。CREATE2和确定性部署至关重要,尤其是对于合约钱包。

如果你在以太坊上使用多重签名钱包,我强烈建议你花时间了解钱包的安全属性,以及你是否会在以太坊以外的链上控制该钱包。

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:15ms0-3:901ms