2022年6月9日,做市商Wintermute透露,Optimism发送给其做市的2000万个OP代币被黑客盗取。丢失始末请看金色财经此前报道。
简单概括就是
两周前,OptimismFoundation聘请Wintermute为其在中心化交易所上市的OP代币提供流动性。作为协议的一部分,Wintermute获得了2000万枚OP贷款。
这2000万枚OP将被部署在Wintermute的Optimism钱包。当Wintermute将钱包地址发给Optimism团队时,发送的是Wintermute在主网上部署了一段时间的GnosisSafe多签钱包地址。这里Wintermute犯了一个严重错误,因为控制GnosisSafe多签钱包并不能保证控制EVM兼容链同一地址。
金色晨讯 | 10月5日隔夜重要动态一览:21:00-7:00关键词:灰度、新冠肺炎、锚定币、Uniswap
1.比特币波动率触及23个月低点。
2.美国新冠肺炎确诊病例超740万。
3.灰度以太坊经典信托ETCG两年来首次出现折价。
4.CME BTC期货本周形成“10597-10700美元”缺口。
5.BitMEX比特币永续期货未平仓合约减少近24%。
6.以太坊链上锚定BTC的代币总量已超12.7万枚。
7.莱特币MimbleWimble协议已在测试网启用。
8.Uniswap月度交易量首次超过Coinbase。
9.比特币小幅上涨,日内最低报10582.56美元,最高报10697美元。[2020/10/5]
以太坊开发者KelvinFichter解释Wintermute被攻击原因
金色晚报 | 3月22日晚间重要动态一览:12:00-21:00关键词:央行、12345、区块链应用
1.央行官微转发3.15系列文章 提醒公众警惕虚拟货币陷阱。
2.央行邹平座:区块链推动实现经济制度的民主化。
3.银保监会副主席:银行通过区块链等技术为小微企业提供融资服务。
4.12345市民服务热线将应用区块链等技术提升服务水平。
5.江苏省级农产品质量追溯平台已实现省、市、县追溯系统数据互联。
6.辽宁自贸试验区大连片区创新“区块链”应用。
7.MoneyGram早已将从Ripple处收到的1130万美元XRP出售。
8.数据显示:只有5家交易所有正向用户存款。
9.比特币日内小幅下跌,由6450美元最低跌至5920美元。[2020/3/22]
用户通常假设他们可以在以太坊上访问的任何帐户也可以在其他基于EVM的链上访问。对于外部拥有的账户,这通常是正确的。这不一定适用于智能合约账户。可以使用完全不同的代码在不同链上的相同地址创建合约,从而产生完全不同的所有者。
独家 | 金色财经2月11日挖矿收益播报:金色财经报道,据印比特数据显示,按照BTC参考价格68100元、电价0.38元/kWh计算,当前在售主流BTC矿机的市场价格及回本周期为:神马M20S-68T(二手机11560元,246天回本)、芯动T3+-57T(全新现货9300元,287天回本)、阿瓦隆1066-50T(全新现货6300元,231天回本)、蚂蚁T17e-50T(准现货7100元,227天回本)。[2020/2/11]
EVM地址分为EOA和CA。合约地址又有两种方式获得:
CREATE?new_address=hash(sender,nonce)?
金色财经现场报道 Higgs Block集团CEO陈庆:区块链与金融行业结合将迎来成倍增长:金色财经现场报道,在2018东京纷智峰会上,进行以《数字身份和数字资产网络3.0时代》为主题的圆桌,陈庆指出:区块链潜力很大,一旦它与金融行业相结合,就将迎来双倍甚至三倍的增长。我进入这个行业之前,觉得行业难度很高,要想在学习和教育方面迈出第一步,就需要进行交流。我们希望能不断扩大我们的规模,并与传统金融行业相联系,同时吸引更多人加入我们,共同形成一个团结的社群。[2018/5/22]
CREATE2new_address=hash(0xFF,sender,salt,bytecode)
与CREATE2不同,通过CREATE创建的合约地址不是基于用于创建合约的代码,而仅基于创建者地址的nonce。
看一下链上细节
1、13天前,Optimism团队从0x25地址测试发送1个OP给Wintermute发送给Optimism团队的地址0x4f
https://optimistic.etherscan.io/tokentxns?a=0x4f3a120e72c76c22ae802d129f599bfdbc31cb81&p=2
2、12天前,Optimism团队分两笔将1900万枚和100万枚OP发送给Wintermute。
直至此时,Wintermute还没有意识到他们没有这个地址的控制权。
3、WintermuteGnosisSafe多签钱包创建于561天前,
https://etherscan.io/tx/0xd705178d68551a6a6f65ca74363264b32150857a26dd62c27f3f96b8ec69ca01
多签合约地址为0x76e2cfc1f5fa8f6a5b3fc4c8f4788f0116861f9b。
从合约代码可知是通过CREATE而不是CREATE2创建的多重签名。
多签钱包地址即为0x4f。
4、4天前,攻击者将旧的Safefactory部署到Optimism。
并开始重复触发create函数以在L2上创建多重签名,进而控制了Optimism上的0x4f地址。
https://optimistic.etherscan.io/tx/0x00a3da68f0f6a69cb067f09c3f7e741a01636cbc27a84c603b468f65271d415b#internal
正如KelvinFichter所说,此事件不是Optimism或GnosisSafe中任何漏洞的结果,而是源于在多链之前旧版本的GnosisSafe中做出的安全假设。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。