2022年6月9日消息,据Optimism与加密货币做市商Wintermute透露,2000万个Optimism代币被黑客盗取。6月9日,Optimism基金会向Wintermute授予了2000万枚OP代币。
交易发送完成后,Wintermute发现无法访问这些代币,因为提供的地址是他们尚未部署到Optimism/L2的Ethereum/L1多签地址。该Optimism/L2多签地址由黑客部署,2000枚OP代币也被黑客盗取。
一、事件分析
5月27日,Optimism基金会通过多签合约分两次向Wintermute的多签合约地址转账2000万OP代币,并且在26日转账1枚OP代币,3笔交易如下:
BlockSec:已确认EraLend遭到只读重入攻击,总损失为340万美元:7月25日消息,BlockSec 表示,其正在协助 EraLend 解决攻击调查问题,并已确定根本原因,即只读重入攻击,总损失为 340 万美元。[2023/7/25 15:57:59]
根据交易时间以及交易中OP代币数量,我们分析,在26日,Optimism基金会向Wintermute多签合约地址转账1枚OP代币作为测试,Optimism基金会在Wintermute确认收到代币后将2000万枚OP代币通过连续的两笔交易发送给Wintermute多签合约地址。接收地址是Wintermute在Ethereum/L1上已部署的多签合约地址,因此Wintermute仅仅验证是否接收到了代币,但并没有验证该地址在Optimism/L2上的所有权,而此时在Optimism/L2上并没有实际部署多签合约,这才给了黑客可乘之机。
Gnosis Chain硬分叉成功执行,已升级容易受到重入攻击的代币合约:4月20日消息,Gnosis Chain硬分叉已成功执行,此次硬分叉更新了桥接代币,旨在升级容易受到重入攻击(reentrancyattack)的代币合约(Agave和Pored Finance等)。
此前报道,3月16日Gnosis Chain上Hundred Finance与Agave遭遇闪电贷攻击,损失超1100万美元。[2022/4/20 14:36:20]
以上转账交易中的相关地址如下:
Optimism基金会在Optimism/L2上的多签合约地址:
0x2501c477d0a35545a387aa4a3eee4292a9a8b3f0
Wintermute在Ethereum/L1上的多签合约地址:
0x4f3a120E72C76c22ae802D129F599BFDbc31cb81
同时,Optimism/L2上的0x4f3a也是黑客部署的多签合约地址。
BlockSecAlert:Revest Finance 遭受重入攻击,项目方现已将RVST token合约暂停:3月27日消息,BlockSec告警系统于3月27日上午10:04分点检测到Revest Finance项目遭受重入攻击经过分析原因如下:
1)Next NFT id (FNFTHandler.getNextId)在mint之后更新,因此reentrancy (in ERC1155 mint)能够在当前id上创建NFT
2)mapFNFToToken会在不检查的情况下覆盖token id的状态。
目前项目方已将token合约暂停。详情见原文链接。[2022/3/27 14:20:20]
接下来,我们将从链上交易的角度详细分析一下黑客的攻击行为以及原理。
首先,我们看一下Optimism/L2上的0x4f3a合约部署交易:
txHash是0x00a3da68f0f6a69cb067f09c3f7e741a01636cbc27a84c603b468f65271d415b
Cream Finance遭到闪电贷攻击原因系AMP代币合约存在可重入漏洞:8月30日,PeckShield派盾发推表示,CreamFinance遭闪电贷攻击是因为AMP代币合约引入了一个可重入漏洞。AMP是一种类似erc777的代币,在更新第一次借款之前,它被用来在转移资产的过程中重新借入资产。在tx示例中,黑客进行了500ETH的闪电贷,并将资金存入作为抵押品。然后黑客借了1900万美元AMP并利用可重入漏洞在AMPtokentransfer()中重新借入了355ETH。然后黑客自行清算借款。黑客在17个不同的交易中重复上述过程,总共获得5.98KETH(约1880万美元)。资金仍存放在以0xCE1F的地址中。派盾正在积极监控此地址的任何移动。据此前报道,抵押借贷平台CreamFinance遭遇闪电贷攻击,损失1800万美元。[2021/8/30 22:47:08]
注意到,该合约部署时间是6月5日,其中Wintermute/OPExploiter是黑客的一个地址,简记为0x60b2。
动态 | 以太坊君士坦丁堡升级因“可重入”漏洞延期:据PeckShield消息,今天凌晨,以太坊君士坦丁堡代码突然爆出“可重入”漏洞,该漏洞可以用来攻击相关合约修改用户余额或其他关键变量。PeckShield安全人员初步分析发现,在分叉之前一个存储操作至少需要5000gas,这个是远超缺省转账激励的2300gas。但分叉后一个存储只需200gas,这个造成了现有合约再处理转帐时候,如调用了攻击者合约,可以用来修改调用者合约的内部变量,其中可能包括账号余额等。由于该漏洞,以太坊君士坦丁堡升级延期,具体的升级时间将在周五的下一次核心开发者电话会议选出。[2019/1/16]
该交易是如何准确生成0x4f3a合约地址的呢?
黑客重放了3笔交易,尤其是最后的GnosisSafe:ProxyFactory1.1.1合约创建的交易,如下所示:
Ethereum/L1上的交易如下:
Optimism/L2上的交易:
通过重放交易,黑客在Optimism/L2上面创建了跟Ethereum/L1上完全相同的GnosisSafe:ProxyFactory1.1.1合约,其中创建代理合约函数如下:
GnosisSafe:ProxyFactory1.1.1合约使用的是0.5版本的Solidity,使用new来创建合约时使用的是create命令,而不是create2。使用create命令创建合约,合约地址是msg.sender以及nonce来计算的。在Ethereum/L1上面,创建多签合约0x4f3a的msg.sender就是GnosisSafe:ProxyFactory1.1.1的地址,黑客在Optimism/L2通过重放交易来创建于GnosisSafe:ProxyFactory1.1.1合约的主要目的就是为了保证在Optimism/L2上创建合约0x4f3a的msg.sender与在Ethereum/L1上一致,那么黑客可以很方便的通过智能合约调用createProxy函数来创建出地址是0x4f3a的合约。在该交易中创建过程如下所示:
另外,合约0xe714的部署是在6月1日的以下交易中完成的:
txHash:0x69ee67800307ef7cb30ffa42d9f052290e81b3df6d3b7c29303007e33cd1c240
发起交易地址是0x8bcfe4f1358e50a1db10025d731c8b3b17f04dbb,这也是黑客所持有的地址。同时,这笔交易也是0x8bcf发起的第一笔交易,资金来源于Tornado:
整个过程从时间上看,
5月27日,Optimism地址0x2501向Optimism/L2上的0x4f3a地址转账2000万OP,0x4f3a地址在Ethereum/L1上是Wintermute的多签合约地址,但此时在Optimism/L2上面并没有部署合约;
6月1日,黑客地址0x8bcf部署合约0xe714。
6月5日,黑客通过重放Ethereum/L1上的交易创建了GnosisSafe:ProxyFactory1.1.1合约,其地址与Ethereum/L1上一样;然后地址0x60b2通过合约0xe714部署了多签合约0x4f3a,合约所有权归黑客所有,因此5月27日转入的2000万OP被黑客盗取。
6月5日,多签合约0x4f3a在接收到2000万OP后,将100万OP转账给黑客地址0x60b2,然后将100万OP兑换成了720.7Ether。
6月9日,合约0x4f3a将其中的100万OP转账给了账户地址0xd8da,
其他的1800万OP仍然在合约0x4f3a中。
二、安全建议
引发本次安全事件的根本原因是交易重放、Solidity旧版本漏洞以及主链和侧链交易签名验证等综合因素,并不是因为项目方合约代码存在漏洞。
另外,针对本次事件,项目方反应不及时、对合约管理不严格等也给了黑客可乘之机;从攻击时间线和攻击准备上看,也不排除OP内部有内鬼串通作案的可能。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。