比特币:OPtimism链的Quixotic项目遭受黑客事件分析_PTI

2022年7月1日，成都链安链必应-区块链安全态势感知平台舆情监测显示，OPtimism链的Quixotic项目遭受黑客攻击，黑客获利847个BNB。成都链安安全团队对事件进行了分析，结果如下。

事件相关信息

据悉，Quixotic是一个可以使用ERC20代币和NFT进行买卖的平台，本次攻击事件发生后，平台目前所有市场活动都已暂停。

NFT市场Quix将于明年2月28日结束运营，Optimism基金会将代为开源其代码:11月24日消息，据官方公告，Optimism生态NFT市场Quix宣布，Optimism基金会将代表Optimism社区使Quix代码开源，这意味着，虽然Quix作为一家公司即将结束，但从2023年1月6日开始，其代码将免费供社区使用和构建。Quix正在与Optimism基金会合作，以确保平稳过渡，其团队致力于维持运营到2023年2月28日。

官方称，其每月基础设施成本已超过收入，而且运营过于精简，无法以有意义的方式投资于生态系统，鉴于种种限制，Quix不再是其可以继续经营的企业，“现在我们转向Optimism Collective，将Quix带入下一阶段”。

此外，官方称：“对于Optimism上的NFT收藏者，我们将很快开始将交易重定向到OpenSea。对于NFT创作者，Quix Launchpad将在1月18日之前保持可用状态。我们的团队将直接与Quix API用户合作，帮助他们过渡到替代解决方案。作为代表，我们将在短期内继续参与Optimism的治理，但鼓励委托给Quix团队的代币持有者重新委托给其他人。”[2022/11/24 8:02:38]

?攻击者地址

胖企鹅Pudgy Penguins发文介绍soulTransport协议:1月24日消息，胖企鹅Pudgy Penguins发布推文介绍soulTransport协议。soulTransport允许用户和俱乐部部署他们自己的SBT，并奖励用户参与，以发展Pudgy生态系统。soulTransport将从数量有限的个人和俱乐部开始，但随着测试用例的增加，soulTransport也会向所有人开放。[2023/1/24 11:28:19]

攻击者：

0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5

攻击者合约：

数据：ENS 域名成交总额突破 2 亿美元:12月13日消息，据 NFTGo.io 数据显示，ENS 域名成交总额已突破 2 亿美元，截至目前达到 2.0008 亿美元，市值为 9739 万美元。过去 24 小时 ENS 交易额为 47.815 万美元。历史数据显示，ENS 域名成交额于今年 7 月底首次超过 1 亿美元。[2022/12/13 21:42:02]

0xbe81eabdbd437cba43e4c1c330c63022772c2520

?攻击交易

0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df

BUSD市值突破200亿美元，创历史新高:10月13日消息，据coinmarketcap数据，由加密货币交易所Binance和区块链公司Paxos Trust发行的美元稳定币BUSD市值已突破200亿美元，当前达到216.4亿美元，创下历史新高。[2022/10/13 14:26:19]

0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4

?被攻击合约：

0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6

#攻击过程

1.攻击者先创建NFT攻击合约，如图所示。

2.因为用户将ERC20代币过度授权给了ExchangeV4，并且ExchangeV4合约存在漏洞。导致攻击者利用ExchangeV4合约的fillSellOrder函数进行NFT订单创建通过向用户出售攻击合约中的NFT来转移用户向ExchangeV4合约授权的代币。

3.攻击完成后，攻击者将所盗资产转移至Tornado.Cash。

漏洞分析

本次攻击主要利用了在ExchangeV4合约中创建的NFT订单地址可以被指定，并且在交易中只验证了卖方签名就进行转账，导致用户在有向ExchangeV4进行ERC20代币授权的情况下，攻击者可以创建自己的NFT单方面进行交易，将虚假的NFT转移给用户换出用户向ExchangeV4合约授权的代币。

在fillSellOrder函数中，攻击者可以指定出售的NFT地址，并且在验证中只验证了攻击者的签名，而未验证买方的签名。那么攻击者可以通过验证，并在调用_fillSellOrder函数时，将攻击合约的NFT转移给买方，并执行_sendERC20PaymentsWithRoyalties函数转移买方向合约授权的ERC20代币

资金追踪

截止发文时，攻击者获利约847个BNB，当前攻击者已将所盗资金向Tornado.Cash转移。

总结

针对本次事件，成都链安安全团队建议：

1.在实现签名交易的功能时，需要验证买卖双方的签名。

2.用户需要避免过度授权保证财产安全。

3.项目上线前，建议选择专业的安全审计公司进行全面的安全审计，以规避安全风险。

标签：比特币BTCTIMPTI比特币最新局女人nhbtc币行情OptimusCatOptimism

币赢热门资讯