2022年7月1日,成都链安链必应-区块链安全态势感知平台舆情监测显示,OPtimism链的Quixotic项目遭受黑客攻击,黑客获利847个BNB。成都链安安全团队对事件进行了分析,结果如下。
据悉,Quixotic 是一个可以使用ERC20代币和NFT进行买卖的平台,本次攻击事件发生后,平台目前所有市场活动都已暂停。
?攻击者地址
攻击者:
0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5
Meta Media宣布入驻Decentraland:8月29日消息,Meta Media超媒体控股集团近日宣布在全球最著名的元宇宙虚拟数字平台Decentraland购置了11块地块,该地位于Voltaire Art District街区,并与著名苏富比拍卖行的元宇宙虚拟拍卖空间Sothebys Metaverse为邻。Meta Media超媒体控股集团创始人暨董事会主席、CEO邵忠表示,“我们将在这里打造一个Meta Art Base元宇宙艺术基地”。[2022/8/29 12:55:39]
攻击者合约:
0xbe81eabdbd437cba43e4c1c330c63022772c2520
?攻击交易
0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df
欧科云链OKLink上线Polygon区块链浏览器,现已支持14大主流公链:5月12日消息,欧科云链OKLink官网正式上线Polygon区块链浏览器。目前,OKLink区块链浏览器已覆盖14条主流公链,服务全球5000万用户。此次Polygon区块链浏览器上线,将为Polygon生态用户带来7乘24小时多维度、深层次的链上数据和指标服务。
此外,伴随Polygon区块链浏览器的上线,OKLink区块链浏览器还对旗下4条已支持的公链浏览器(ETH、OKC、OKC(Test)、TRX)页面进行改版,聚焦数据展现,打造链上核心数据一站式体验。[2022/5/12 3:11:28]
0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4
?被攻击合约:
0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6
1. 攻击者先创建NFT攻击合约,如图所示。
2.因为用户将ERC20代币过度授权给了ExchangeV4(被攻击合约),并且ExchangeV4合约存在漏洞。导致攻击者利用ExchangeV4合约的fillSellOrder函数进行NFT订单创建通过向用户出售攻击合约中的NFT来转移用户向ExchangeV4合约授权的代币。
3.攻击完成后,攻击者将所盗资产转移至Tornado.Cash。
本次攻击主要利用了在ExchangeV4合约中创建的NFT订单地址可以被指定,并且在交易中只验证了卖方签名就进行转账,导致用户在有向ExchangeV4进行ERC20代币授权的情况下,攻击者可以创建自己的NFT单方面进行交易,将虚假的NFT转移给用户换出用户向ExchangeV4合约授权的代币。
在fillSellOrder函数中,攻击者可以指定出售的NFT地址,并且在验证中只验证了攻击者的签名,而未验证买方的签名。那么攻击者可以通过验证,并在调用_fillSellOrder函数时,将攻击合约的NFT转移给买方,并执行_sendERC20PaymentsWithRoyalties函数转移买方向合约授权的ERC20代币
截止发文时,攻击者获利约847个BNB,当前攻击者已将所盗资金向Tornado.Cash转移。
针对本次事件,成都链安安全团队建议:
1.在实现签名交易的功能时,需要验证买卖双方的签名。
2.用户需要避免过度授权保证财产安全。
3.项目上线前,建议选择专业的安全审计公司进行全面的安全审计,以规避安全风险。
曾被称为“加密货币女王”的鲁亚·伊格纳托娃(Ruja Ignatova)本周四被美国FBI列入十大通缉逃犯名单,她是历史上第11位被列入该名单的女性,也是现在该名单内的唯一女性。 据美国检察官称,她通过发行维卡币(OneCoin)在全球敛财超40亿美元。2018年,中国执法部门曾公诉“维卡币”组织98人,追回了17亿元人民币(2.675 亿美元)。
信息来源:ChainAlysis 转自公号:老雅痞(laoyapi) 去中心化自治组织(DAO)是web3的主打产品。DAO是基于互联网和区块链的,旨在为企业、项目和社区提供一个新的、民主化的管理结构,其中任何成员只要投资项目就可以对组织决策进行投票。 1、DAO的创始人创造了一种新的加密货币,被称为治理代币。
昨天Arbitrum因gas费奇高被热议,流传出一个有趣的梗,“为什么l2比l1好,原来是因为gas费是l1的2倍。” 这个梗指出的情况不常见,但确实指出了l2存在的问题。
转自公号:老雅痞(laoyapi) 未来已来,传统机构入局加密 作为硅谷历史最悠久、最成功的顶级风险投资公司之一,红杉资本曾压中过雅达利、思科、Yahoo、谷歌、Oracle、英伟达、Paypal、领英、Stripe、YouTube、Instagram等互联网和金融科技领域最耀眼的公司。
注:上周,以太坊成功完成了灰色冰川(Gray Glacier)硬分叉升级,将难度炸弹推迟了大约 100 天的时间,而对于以太坊接下来的合并,来自 ConsenSys 的 开发者 Ben Edgington 分享了一些信息(译文有删减)。
在这篇文章中,作者将阐述什么是区块链模块化、模块化堆栈的 4 个属性和 10 个资源,以帮助您加深对 Celestia 的理解。 通过对比区块链网络的演变与传统应用基础设施的演变,我们知道,在互联网的早期,如果你想部署自己的网站,你需要拥有自己的服务器和硬件。 这对普通人能够作为创建者参与开放网络施加了限制。