2022年6月9日,做市商Wintermute透露,Optimism发送给其做市的2000万个OP代币被黑客盗取。丢失始末请看金色财经此前报道。
简单概括就是
两周前,OptimismFoundation聘请Wintermute为其在中心化交易所上市的OP代币提供流动性。作为协议的一部分,Wintermute获得了2000万枚OP贷款。
这2000万枚OP将被部署在Wintermute的Optimism钱包。当Wintermute将钱包地址发给Optimism团队时,发送的是Wintermute在主网上部署了一段时间的GnosisSafe多签钱包地址。这里Wintermute犯了一个严重错误,因为控制GnosisSafe多签钱包并不能保证控制EVM兼容链同一地址。
金色午报 | 10月4日午间重要动态一览:7:00-12:00关键词:Guavapay、V神、Bitfinex、SWIFT系统
1. 比特币网络难度下调0.09%至19.30T。
2. 英国电子货币机构Guavapay成为RippleNet成员。
3. V神否认当前以太坊性能低的说法。
4. 数据:BTC锚定币总发行量达12.68万枚。
5. Bitfinex将于10月4日18点开启BAL交易与提币服务。
6. 中国银行研究院郝毅:央行数字货币会冲击SWIFT系统。
7. Yam Finance提交第5项提案 于Yam/ETH Sushiswap池添加同步调用功能。
8. 上海徐汇公证处“汇存”区块链电子数据存证平台已有近13万条哈希值数据。[2020/10/4]
以太坊开发者KelvinFichter解释Wintermute被攻击原因
金色晨讯 | 5月13日隔夜重要动态一览:21:00-7:00关键词:毛里求斯、Telegram、联合国、安永
1. 毛里求斯央行逐步接近发行央行数字货币;
2. Telegram创始人宣布终止区块链项目TON;
3. 联合国粮食及农业组织发布报告探讨海鲜行业区块链应用;
4. 锁定在DeFi中的比特币数量创历史新高;
5. 稳定币总供应量创历史新高,超100亿美元;
6. 灰度管理的加密货币资产总额创新高;
7. ETH 1.x研究人员提交向以太坊网络添加第二种燃料提案;
8. 加密货币监管专家:各国真正实施FATF加密准则可能需数年;
9. BTC现报8814.41美元,日内跌幅0.57%,市值前十币种普跌。[2020/5/13]
用户通常假设他们可以在以太坊上访问的任何帐户也可以在其他基于EVM的链上访问。对于外部拥有的账户,这通常是正确的。这不一定适用于智能合约账户。可以使用完全不同的代码在不同链上的相同地址创建合约,从而产生完全不同的所有者。
分析 | 金色盘面:BTC顶背离带来的调整进入尾声:金色盘面独家分析:我们看一下BTC15分钟走势图,这里有个明显的顶背离,不过形成之初并不能看到杀伤力如此之大,而目前看,这个15分钟的调整接近了尾声,但是这里如果不能快速反弹,会导致30分钟甚至1小时技术走弱,那样对于多头来说会是不太好的消息。上述分析仅限技术交流,不作为交易参考,投资者需要理性看待市场价格波动,做好风险控制。[2018/9/27]
EVM地址分为EOA和CA。合约地址又有两种方式获得:
CREATE?new_address=hash(sender,nonce)?
CREATE2new_address=hash(0xFF,sender,salt,bytecode)
分析 | 金色盘面:PAI短线下挫 布林下轨获得支撑:金色盘面综合分析:PAI短线下挫,在布林轨道下轨得到短暂支撑,若跌破此位置则可能再次探底。[2018/8/10]
与CREATE2不同,通过CREATE创建的合约地址不是基于用于创建合约的代码,而仅基于创建者地址的nonce。
看一下链上细节
1、13天前,Optimism团队从0x25地址测试发送1个OP给Wintermute发送给Optimism团队的地址0x4f
https://optimistic.etherscan.io/tokentxns?a=0x4f3a120e72c76c22ae802d129f599bfdbc31cb81&p=2
2、12天前,Optimism团队分两笔将1900万枚和100万枚OP发送给Wintermute。
直至此时,Wintermute还没有意识到他们没有这个地址的控制权。
3、WintermuteGnosisSafe多签钱包创建于561天前,
https://etherscan.io/tx/0xd705178d68551a6a6f65ca74363264b32150857a26dd62c27f3f96b8ec69ca01
多签合约地址为0x76e2cfc1f5fa8f6a5b3fc4c8f4788f0116861f9b。
从合约代码可知是通过CREATE而不是CREATE2创建的多重签名。
多签钱包地址即为0x4f。
4、4天前,攻击者将旧的Safefactory部署到Optimism。
并开始重复触发create函数以在L2上创建多重签名,进而控制了Optimism上的0x4f地址。
https://optimistic.etherscan.io/tx/0x00a3da68f0f6a69cb067f09c3f7e741a01636cbc27a84c603b468f65271d415b#internal
正如KelvinFichter所说,此事件不是Optimism或GnosisSafe中任何漏洞的结果,而是源于在多链之前旧版本的GnosisSafe中做出的安全假设。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。