2022年6月9日,做市商Wintermute透露,Optimism发送给其做市的2000万个OP代币被黑客盗取。丢失始末请看金色财经此前报道。
简单概括就是
两周前,OptimismFoundation聘请Wintermute为其在中心化交易所上市的OP代币提供流动性。作为协议的一部分,Wintermute获得了2000万枚OP贷款。
这2000万枚OP将被部署在Wintermute的Optimism钱包。当Wintermute将钱包地址发给Optimism团队时,发送的是Wintermute在主网上部署了一段时间的GnosisSafe多签钱包地址。这里Wintermute犯了一个严重错误,因为控制GnosisSafe多签钱包并不能保证控制EVM兼容链同一地址。
金色相对论 | 创世资本创始合伙人孙泽宇:挖矿在熊市是一种更稳健的投资:在本期金色相对论上,针对金色财经内容合伙人佟扬“如何理解牛市炒币,熊市挖矿?”的提问,创世资本创始合伙人孙泽宇表示:因为在牛市的时候,币价波动比较大,短线的可操作性更强,因此在牛市,炒币会是一个更好的选择;另外,在牛市,随着币价的提升,矿机等各方面的硬件成本也会水涨船高,例如S9矿机,最高时候价格被炒到3万以上,而现在成本也就几千块钱,二手的成本还要更低。而在熊市,二级市场流动性不足,二级市场的可操作性就没有那么强。而挖矿各方面的成本都要比牛市低。从今年5月到今年11月,比特币的价格并没有明显的上涨。可以看出来,挖矿在熊市是一种更稳健的投资。[2018/11/19]
以太坊开发者KelvinFichter解释Wintermute被攻击原因
金色财经现场报道,Feng Cao:区块链最有可能为金融行业带来改变:在2018年世界数字资产峰会(WDAS)暨FBG年会上,来自PCHAIN公司的Feng Cao表示,区块链是出现在金融及科技的中心,与人工智能物联网大数据等新新技术不同的是,区块链的诞生就是为了金融而服务的,所以相对而言,区块链也是最有可能为金融行业带来改变,其次则是供应链物流行业。[2018/5/2]
用户通常假设他们可以在以太坊上访问的任何帐户也可以在其他基于EVM的链上访问。对于外部拥有的账户,这通常是正确的。这不一定适用于智能合约账户。可以使用完全不同的代码在不同链上的相同地址创建合约,从而产生完全不同的所有者。
金色财经现场报道丨央行参事盛松成:区块链要能够为实体经济服务:金色财经记者现场报道,今日,在博鳌亚洲论坛“再谈区块链场”中,央行参事盛松成:未来区块链技术发展碰到的难题主要会在法律和技术方面,但不是决定因素。最重要的是要能够为实体经济服务,而客户体验就是为实体经济服务。大家逐渐逐渐开始把区块链和比特币分开来,用区块链去为真正的实体经济服务,这才是区块链的前途,如果在这方面能做成,法律、制度、技术这些方面都不是最大的障碍。[2018/4/10]
EVM地址分为EOA和CA。合约地址又有两种方式获得:
CREATE?new_address=hash(sender,nonce)?
金色财经现场报道 区块链创业学院院长沈大海:区块链3.0离我们很远:金色财经现场报道,在4月3日举办的2018年世界区块链峰会现场,区块链创业学院院长沈大海:“区块链一共有1.0、2.0、3.0,1.0是比特币为主的数字货币,这是区块链的1.0。2.0是以太网为核心的智能合约平台。3.0就是高性能的区块链的应用场景和平台。所以我简单总结,1.0是挖矿、炒币;2.0是ICO、发币;3.0是项目的落地,如何使用token。那么在这个过程中,3.0离我们非常远,但是好多项目在2.0阶段是以行业解决方案为切入点,通过结合区块链、结合行业,让区块链能够在某个行业进行落地。”[2018/4/3]
CREATE2new_address=hash(0xFF,sender,salt,bytecode)
与CREATE2不同,通过CREATE创建的合约地址不是基于用于创建合约的代码,而仅基于创建者地址的nonce。
看一下链上细节
1、13天前,Optimism团队从0x25地址测试发送1个OP给Wintermute发送给Optimism团队的地址0x4f
https://optimistic.etherscan.io/tokentxns?a=0x4f3a120e72c76c22ae802d129f599bfdbc31cb81&p=2
2、12天前,Optimism团队分两笔将1900万枚和100万枚OP发送给Wintermute。
直至此时,Wintermute还没有意识到他们没有这个地址的控制权。
3、WintermuteGnosisSafe多签钱包创建于561天前,
https://etherscan.io/tx/0xd705178d68551a6a6f65ca74363264b32150857a26dd62c27f3f96b8ec69ca01
多签合约地址为0x76e2cfc1f5fa8f6a5b3fc4c8f4788f0116861f9b。
从合约代码可知是通过CREATE而不是CREATE2创建的多重签名。
多签钱包地址即为0x4f。
4、4天前,攻击者将旧的Safefactory部署到Optimism。
并开始重复触发create函数以在L2上创建多重签名,进而控制了Optimism上的0x4f地址。
https://optimistic.etherscan.io/tx/0x00a3da68f0f6a69cb067f09c3f7e741a01636cbc27a84c603b468f65271d415b#internal
正如KelvinFichter所说,此事件不是Optimism或GnosisSafe中任何漏洞的结果,而是源于在多链之前旧版本的GnosisSafe中做出的安全假设。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。