2022年6月9日,做市商Wintermute透露,Optimism发送给其做市的2000万个OP代币被黑客盗取。丢失始末请看金色财经此前报道。
简单概括就是
两周前,OptimismFoundation聘请Wintermute为其在中心化交易所上市的OP代币提供流动性。作为协议的一部分,Wintermute获得了2000万枚OP贷款。
这2000万枚OP将被部署在Wintermute的Optimism钱包。当Wintermute将钱包地址发给Optimism团队时,发送的是Wintermute在主网上部署了一段时间的GnosisSafe多签钱包地址。这里Wintermute犯了一个严重错误,因为控制GnosisSafe多签钱包并不能保证控制EVM兼容链同一地址。
以太坊开发者KelvinFichter解释Wintermute被攻击原因
用户通常假设他们可以在以太坊上访问的任何帐户也可以在其他基于EVM的链上访问。对于外部拥有的账户,这通常是正确的。这不一定适用于智能合约账户。可以使用完全不同的代码在不同链上的相同地址创建合约,从而产生完全不同的所有者。
EVM地址分为EOA和CA。合约地址又有两种方式获得:
CREATE?new_address=hash(sender,nonce)?
CREATE2new_address=hash(0xFF,sender,salt,bytecode)
与CREATE2不同,通过CREATE创建的合约地址不是基于用于创建合约的代码,而仅基于创建者地址的nonce。
看一下链上细节
1、13天前,Optimism团队从0x25地址测试发送1个OP给Wintermute发送给Optimism团队的地址0x4f
https://optimistic.etherscan.io/tokentxns?a=0x4f3a120e72c76c22ae802d129f599bfdbc31cb81&p=2
2、12天前,Optimism团队分两笔将1900万枚和100万枚OP发送给Wintermute。
直至此时,Wintermute还没有意识到他们没有这个地址的控制权。
3、WintermuteGnosisSafe多签钱包创建于561天前,
https://etherscan.io/tx/0xd705178d68551a6a6f65ca74363264b32150857a26dd62c27f3f96b8ec69ca01
多签合约地址为0x76e2cfc1f5fa8f6a5b3fc4c8f4788f0116861f9b。
从合约代码可知是通过CREATE而不是CREATE2创建的多重签名。
多签钱包地址即为0x4f。
4、4天前,攻击者将旧的Safefactory部署到Optimism。
并开始重复触发create函数以在L2上创建多重签名,进而控制了Optimism上的0x4f地址。
https://optimistic.etherscan.io/tx/0x00a3da68f0f6a69cb067f09c3f7e741a01636cbc27a84c603b468f65271d415b#internal
正如KelvinFichter所说,此事件不是Optimism或GnosisSafe中任何漏洞的结果,而是源于在多链之前旧版本的GnosisSafe中做出的安全假设。
来源:金色财经
2022年,国内多地政府推动元宇宙产业前瞻性布局,并陆续出台相关配套政策。无论是政府,还是商业机构,都极其看中元宇宙重构社交模式、搭建模拟场景、提供交互平台,对行业变革和新经济发展、推动实体经济.
近日,王启亨先生作为Web3.0概念最早的提出者与践行者,应云简科技CEO俞洋先生之邀出席《简曰》直播间,与大家一起探讨“元宇宙”话题.
STARKs 在STARK方案中,只需要生成一份证明,计算结果就可以在简单几步内得到验证。?有了STARKs,较大的计算可以在链下进行,减少了区块链上验证所需的计算量.
2022年6月7日20:00,由ARES官方建设的ARESDAO社区,全球巡回AMA火热启动,本次邀请了重磅嘉宾:ARES创始人以及CEO的Charles与ARESDAO社区推广大使共同主持此次.
金色财经区块链6月7日讯?加密货币市场的高度波动性恐怕是投资者一直以来最为担心的事情。从目前来看,这种担心不无道理,近期加密货币市场就在经历着一场前所未有的“腥风血雨”.
在一系列备受瞩目的破产和失败之后,两党参议员公布了监管加密货币和其他数字资产的最广泛立法提案。在周二,美国参议员KirstenGillibrand和CynthiaLummis正式发布了加密监管法.
链资讯