TER:2000万OP因何被盗? 来看看链上细节_EpinToken

2022年6月9日，做市商Wintermute透露，Optimism发送给其做市的2000万个OP代币被黑客盗取。

简单概括就是

两周前，OptimismFoundation聘请Wintermute为其在中心化交易所上市的OP代币提供流动性。作为协议的一部分，Wintermute获得了2000万枚OP贷款。

这2000万枚OP将被部署在Wintermute的Optimism钱包。当Wintermute将钱包地址发给Optimism团队时，发送的是Wintermute在主网上部署了一段时间的GnosisSafe多签钱包地址。这里Wintermute犯了一个严重错误，因为控制GnosisSafe多签钱包并不能保证控制EVM兼容链同一地址。

美国加密货币的未来可能取决于4项数字资产法案:金色财经报道，加密货币法案可以将权力移交给据称对加密货币更加友好的美国商品期货交易委员会 (CFTC)，并更好地定义美国证券交易委员会 (SEC) 的管辖权。据报道，自2022年以来，至少有50项数字资产法案被提交给国会，旨在管理从稳定币到美国监管机构管辖范围的一切事务。然而，鉴于立法者和加密货币行业的关注，其中至少有四项被认为可能对该行业产生重大影响（如果通过）。这四项法案为：7月20日提出的《21世纪金融创新与技术法案》、

《负责任的金融创新法案》、6月1日推出的《数字资产市场结构法案》和2020年9月首次推出《数字商品交易法》。[2023/7/25 15:57:25]

以太坊开发者KelvinFichter解释Wintermute被攻击原因

奢侈品巨头PRADA将于2月2日发布第九批Timecapsule系列NFT:金色财经报道，意大利奢侈品巨头普拉达（PRADA）宣布将于2月2日推出第九批Timecapsule系列NFT。普拉达还透露，他们将会选取一位幸运的Prada NFT持有者获得VIP邀请，参加定于2月23日举行的2023秋冬女装时装秀。另据OpenSea数据显示，当前PRADA Timecapsule地板价已升至0.55 ETH，总交易额为27 ETH。[2023/1/30 11:36:12]

用户通常假设他们可以在以太坊问的任何帐户也可以在其他基于EVM的链问。对于外部拥有的账户，这通常是正确的。这不一定适用于智能合约账户。可以使用完全不同的代码在不同链上的相同地址创建合约，从而产生完全不同的所有者。

IG Group成立Web3子公司并推出自托管数字钱包:12月2日消息，金融经纪公司及衍生品交易商IG Group宣布推出专注于数字资产、Web3和DeFi的软件技术公司tasty Software Solutions, LLC，并且发布了首款产品：支持比特币和以太坊网络的自托管区块链钱包，让用户能够控制自己的数字资产，包括加密货币、代币和NFT。此外，该钱包还支持用户使用许可第三方支付提供资金，在链上兑换代币，也可以使用经纪账户将加密货币转移到钱包。（financefeeds）[2022/12/2 21:16:44]

EVM地址分为EOA和CA。合约地址又有两种方式获得：

CREATEnew_address=hash(sender,nonce)

CREATE2new_address=hash(0xFF,sender,salt,bytecode)

与CREATE2不同，通过CREATE创建的合约地址不是基于用于创建合约的代码，而仅基于创建者地址的nonce。

看一下链上细节

1、13天前，Optimism团队从0x25地址测试发送1个OP给Wintermute发送给Optimism团队的地址0x4f

https://optimistic.etherscan.io/tokentxns?a=0x4f3a120e72c76c22ae802d129f599bfdbc31cb81&p=2

2、12天前，Optimism团队分两笔将1900万枚和100万枚OP发送给Wintermute。

直至此时，Wintermute还没有意识到他们没有这个地址的控制权。

3、WintermuteGnosisSafe多签钱包创建于561天前，

https://etherscan.io/tx/0xd705178d68551a6a6f65ca74363264b32150857a26dd62c27f3f96b8ec69ca01

多签合约地址为0x76e2cfc1f5fa8f6a5b3fc4c8f4788f0116861f9b。

从合约代码可知是通过CREATE而不是CREATE2创建的多重签名。

多签钱包地址即为0x4f。

4、4天前，攻击者将旧的Safefactory部署到Optimism。

并开始重复触发create函数以在L2上创建多重签名，进而控制了Optimism上的0x4f地址。

https://optimistic.etherscan.io/tx/0x00a3da68f0f6a69cb067f09c3f7e741a01636cbc27a84c603b468f65271d415b#internal

正如KelvinFichter所说，此事件不是Optimism或GnosisSafe中任何漏洞的结果，而是源于在多链之前旧版本的GnosisSafe中做出的安全假设。

标签：TERINTERINTTIMITercet NetworkEncointerEpinTokentimi币官方网站

KuCoin热门资讯