2022年6月9日,做市商Wintermute透露,Optimism发送给其做市的2000万个OP代币被黑客盗取。丢失始末请看金色财经此前报道。
简单概括就是
两周前,OptimismFoundation聘请Wintermute为其在中心化交易所上市的OP代币提供流动性。作为协议的一部分,Wintermute获得了2000万枚OP贷款。
这2000万枚OP将被部署在Wintermute的Optimism钱包。当Wintermute将钱包地址发给Optimism团队时,发送的是Wintermute在主网上部署了一段时间的GnosisSafe多签钱包地址。这里Wintermute犯了一个严重错误,因为控制GnosisSafe多签钱包并不能保证控制EVM兼容链同一地址。
金色晨讯 | QuadrigaCX冷钱包密钥并未丢失 仍在向外转账 立陶宛央行计划今年发行数字货币“LBCoin”:1.Bisq 因技术问题移除 Grin 交易 Grin 核心开发者称已有更新改进。2.外媒:中国春节将影响数字货币交易量和价格。3.QuadrigaCX冷钱包密钥并未丢失 仍在向外转账。4.Grin开发者已获得价值2.6万美元的捐款。5.立陶宛央行预计将于今年发行数字货币“LBCoin”。6.EOS节点竞选进行中 加入投票的EOS已达到4.4106亿个。7.全球区块链专利数排行榜前20 中国企业占据15席。8.V神:以太坊计划在2019年开始动手削减能源浪费。[2019/2/4]
以太坊开发者KelvinFichter解释Wintermute被攻击原因
金色晨讯 | 港交所现比特大陆代码 Tether所发信函为真:1、加拿大马尼托巴证券委员会向公众警告FSM Smart;
2、彭博:比特币进入了新的看涨阶段;
3、IBM区块链AR游戏存在漏洞;
4、Deltec董事长:Tether所发信函为真;
5、美国SEC就加密货币对投资顾问展开调查;
6、港交所出现比特大陆临时代码;
7、SEC官员:加密货币不存在系统性风险;
8、日本税制调查会整理有关加密货币税收调整意见;
9、福布斯:EOS 背后的驱动力是社区。[2018/11/6]
用户通常假设他们可以在以太坊上访问的任何帐户也可以在其他基于EVM的链上访问。对于外部拥有的账户,这通常是正确的。这不一定适用于智能合约账户。可以使用完全不同的代码在不同链上的相同地址创建合约,从而产生完全不同的所有者。
金色相对论 | 谭智勇表示:稳定币在市场上对机构投资者的意义更大:本期金色相对论中,对于发行稳定币的讨论,欧链创始人谭智勇表示:我们在考虑区块链场景的稳定币时除了讨论发币机制和价值机制外,也要考虑稳定币的区块链token化。仅仅是把现实世界的美元在区块链上资产做价值映射,都有相应的市场。所以稳定币是一定有需求的,当然细节上还值得探讨。从设计来看,稳定币就是提供目前数字货币市场上的一般等价物,或者再细分应该要实现三个基础功能:交易媒介,价值储存以及记账单位。所以稳定币其实在市场上相对于机构投资者的意义会大于一般的个人投资者。[2018/9/20]
EVM地址分为EOA和CA。合约地址又有两种方式获得:
CREATE?new_address=hash(sender,nonce)?
分析 | 金色盘面:FGI恐慌指数 17:金色盘面综合分析:FGI恐慌指数9月5日显示为17,市场极度恐慌,在BTC出现深幅调整的情况下,市场整体跟随走低,造成投资者情绪波动较大,但我们看到短期风险也得以释放,不必过分紧张,请投资者理性看待市场震荡,做好风险控制。[2018/9/6]
CREATE2new_address=hash(0xFF,sender,salt,bytecode)
与CREATE2不同,通过CREATE创建的合约地址不是基于用于创建合约的代码,而仅基于创建者地址的nonce。
看一下链上细节
1、13天前,Optimism团队从0x25地址测试发送1个OP给Wintermute发送给Optimism团队的地址0x4f
https://optimistic.etherscan.io/tokentxns?a=0x4f3a120e72c76c22ae802d129f599bfdbc31cb81&p=2
2、12天前,Optimism团队分两笔将1900万枚和100万枚OP发送给Wintermute。
直至此时,Wintermute还没有意识到他们没有这个地址的控制权。
3、WintermuteGnosisSafe多签钱包创建于561天前,
https://etherscan.io/tx/0xd705178d68551a6a6f65ca74363264b32150857a26dd62c27f3f96b8ec69ca01
多签合约地址为0x76e2cfc1f5fa8f6a5b3fc4c8f4788f0116861f9b。
从合约代码可知是通过CREATE而不是CREATE2创建的多重签名。
多签钱包地址即为0x4f。
4、4天前,攻击者将旧的Safefactory部署到Optimism。
并开始重复触发create函数以在L2上创建多重签名,进而控制了Optimism上的0x4f地址。
https://optimistic.etherscan.io/tx/0x00a3da68f0f6a69cb067f09c3f7e741a01636cbc27a84c603b468f65271d415b#internal
正如KelvinFichter所说,此事件不是Optimism或GnosisSafe中任何漏洞的结果,而是源于在多链之前旧版本的GnosisSafe中做出的安全假设。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。