2022年6月9日,做市商Wintermute透露,Optimism发送给其做市的2000万个OP代币被黑客盗取。丢失始末请看金色财经此前报道。
简单概括就是
两周前,OptimismFoundation聘请Wintermute为其在中心化交易所上市的OP代币提供流动性。作为协议的一部分,Wintermute获得了2000万枚OP贷款。
这2000万枚OP将被部署在Wintermute的Optimism钱包。当Wintermute将钱包地址发给Optimism团队时,发送的是Wintermute在主网上部署了一段时间的GnosisSafe多签钱包地址。这里Wintermute犯了一个严重错误,因为控制GnosisSafe多签钱包并不能保证控制EVM兼容链同一地址。
金色晨讯 | 10月24日隔夜重要动态一览:21:00-7:00关键词:美联储、韩国、CME、俄罗斯、灰度
1. 美联储就降低境外转帐信息收集门槛征求公众意见,涉及加密货币;
2. 韩国金融服务委员会称其对朝鲜黑客窃取加密货币不负责;
3. CME已成为第二大比特币期货市场;
4. 俄罗斯央行行长:数字卢布必须确保隐私而非匿名性;
5. 灰度管理的加密资产规模在1天内增长了3亿美元;
6. MineSpot声称正在开设俄罗斯最大的加密货币矿场;
7. 证券日报社副总编辑:区块链代表着新未来和新财富;
8. 外媒:FBI曾调查Ripple 2017年被勒索事件。[2020/10/24]
以太坊开发者KelvinFichter解释Wintermute被攻击原因
金色财经现场报道 Patrik Baron:今后会有更多公司选择ICO而非IPO:Ambisafe的CEO:Patrik Baron在2018 Global Token Galaxy演讲中提到,今后会有更多公司选择ICO而不是IPO的融资方式。他提到,并不是所有公司都需要发币,比如像可口可乐,这些公司的股份或许在未来会在分布式账本上被跟踪及交易,每一股都会被一枚代币所代表。但更多创业公司会关注到ICO这种创新性的融资方式,并将ICO用于质量更高的项目融资上。他相信,现在还不是ICO最顶峰的时候,ICO将会在不远的将来爆发,但质量会更高。[2018/5/27]
用户通常假设他们可以在以太坊上访问的任何帐户也可以在其他基于EVM的链上访问。对于外部拥有的账户,这通常是正确的。这不一定适用于智能合约账户。可以使用完全不同的代码在不同链上的相同地址创建合约,从而产生完全不同的所有者。
金色财经现场报道 AHMED ALSAYAD:火币创建的生态会为EOS提供长期的支持:金色财经现场报道,在火币EOS全球超级节点SHOW上,进行以《不同视角看EOS》为题的圆桌论坛,ProChain联合创始人AHMED ALSAYAD指出:火币参与超级节点竞选,对于EOS而言是一个很好的消息,火币创建的生态会为EOS提供长期的支持。从移动互联网开始,中国就发展的非常快,区块链行业浪潮中,中国的区块链技术领域发展也十分迅速。最近,大家都在瞄准EOS公链,并希望能做出一些事情,我也一直在中东普及相关的知识。[2018/5/14]
EVM地址分为EOA和CA。合约地址又有两种方式获得:
金色财经现场报道 元道:未来形成“矩阵结构,纵横交错,百链竞发”的公链系:金色财经现场报道,在世界区块链大会·三点钟峰会宏观经济探讨部分,中关村区块链产业联盟理事长作了题为“区块链技术下的未来金融与经济新格局”中指出,价值的传播载体从实物货币演化到区块链,塑造了全球通证的经济新时代。通证是一个重要的价值符号,未来将形成“矩阵结构,纵横交错,百链竞发”的公链系。区块链要经历从虚拟货币到应用再到治理是区块链的发展过程。而治理尤为关键,要区分治理与管理的区别,中国的公司没有参与到互联网治理之中,区块链要让我们在考虑共识与治理的问题。[2018/4/24]
CREATE?new_address=hash(sender,nonce)?
CREATE2new_address=hash(0xFF,sender,salt,bytecode)
与CREATE2不同,通过CREATE创建的合约地址不是基于用于创建合约的代码,而仅基于创建者地址的nonce。
看一下链上细节
1、13天前,Optimism团队从0x25地址测试发送1个OP给Wintermute发送给Optimism团队的地址0x4f
https://optimistic.etherscan.io/tokentxns?a=0x4f3a120e72c76c22ae802d129f599bfdbc31cb81&p=2
2、12天前,Optimism团队分两笔将1900万枚和100万枚OP发送给Wintermute。
直至此时,Wintermute还没有意识到他们没有这个地址的控制权。
3、WintermuteGnosisSafe多签钱包创建于561天前,
https://etherscan.io/tx/0xd705178d68551a6a6f65ca74363264b32150857a26dd62c27f3f96b8ec69ca01
多签合约地址为0x76e2cfc1f5fa8f6a5b3fc4c8f4788f0116861f9b。
从合约代码可知是通过CREATE而不是CREATE2创建的多重签名。
多签钱包地址即为0x4f。
4、4天前,攻击者将旧的Safefactory部署到Optimism。
并开始重复触发create函数以在L2上创建多重签名,进而控制了Optimism上的0x4f地址。
https://optimistic.etherscan.io/tx/0x00a3da68f0f6a69cb067f09c3f7e741a01636cbc27a84c603b468f65271d415b#internal
正如KelvinFichter所说,此事件不是Optimism或GnosisSafe中任何漏洞的结果,而是源于在多链之前旧版本的GnosisSafe中做出的安全假设。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。