OPTI:OPtimism鏈的Quixotic項目遭受黑客事件分析

2022年7月1日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，OPtimism鏈的Quixotic項目遭受黑客攻擊，黑客獲利847個BNB。成都鏈安安全團隊對事件進行了分析，結果如下。

據悉，Quixotic 是一個可以使用ERC20代幣和NFT進行買賣的平臺，本次攻擊事件發生后，平臺目前所有市場活動都已暫停。

MetisDAO：正結合Optimistic Rollup和零知識證明構建首個混合Rollup:金色財經報道，以太坊擴容解決方案MetisDAO官方宣布，正在通過將Optimistic Rollup架構與零知識證明相結合來構建首個混合Rollup，為以太坊開發人員提供安全、對開發人員友好的第2層，以部署所有類型的去中心化應用程序。[2023/3/3 12:40:27]

?攻擊者地址

攻擊者：

0x0A0805082EA0fc8bfdCc6218a986efda6704eFE5

攻擊者合約：

數據：Optimism上DeFi鎖倉額單日激增80%達到9.9億美元，已超越Arbitrum:8月5日消息，據Defi Llama數據，Optimism上DeFi鎖倉額（TVL）在8月5日單日增加近80%，達到9.9億美元，超過Arbitrum的8.65億美元。另據L2BEAT數據顯示，目前Arbitrum上的鎖倉額為24.8億美元（存入Rollup的總資產價值），Optimism上為15.1億美元。

DefiLlama數據顯示，Optimism上AaveV3的鎖倉額占比達到45.59%。根據Aave官網，目前AaveV3在Optimism上的總市場規模突破17億美元，總借款量近12.6億美元。8月5日，AaveV3在Optimism上啟動流動性挖礦，流動性挖礦將持續90天時間，共將發放500萬枚OP代幣獎勵。[2022/8/6 12:06:24]

0xbe81eabdbd437cba43e4c1c330c63022772c2520

V神已將此前黑客發送的100萬枚OP轉回Optimism項目方地址:6月11日消息，據Optimistic瀏覽器數據顯示，昨日由Optimism黑客發送至Vitalik Buterin地址的100萬枚OP已轉移回Optimism項目方地址。截至目前，黑客所盜2000萬枚OP除其中100萬枚被拋售外，其余1900萬枚已全部歸還Optimism項目方。

此前報道，OP被盜事件黑客于昨日通過鏈上消息表示將歸還1800萬枚OP。[2022/6/11 4:18:00]

?攻擊交易

0xcdfb8b3cbe85452192196713f371e3afdeb908c3198f0eec334beff9462ab5df

Litentry與OptionRoom達成合作:波卡生態去中心化身份協議Litentry與波卡生態預言機和預測協議OptionRoom達成合作，OptionRoom將加入Litentry的Aggregated DID生態系統，以增加誠實協議參與者的數量。[2021/2/10 19:27:12]

0x1b0fd785391f804a373575ace3e81a28f4a35ade934c15b5dc62ddfbbde659b4

?被攻擊合約：

0x065e8A87b8F11aED6fAcf9447aBe5E8C5D7502b6

1. 攻擊者先創建NFT攻擊合約，如圖所示。

2.因為用戶將ERC20代幣過度授權給了ExchangeV4（被攻擊合約），并且ExchangeV4合約存在漏洞。導致攻擊者利用ExchangeV4合約的fillSellOrder函數進行NFT訂單創建通過向用戶出售攻擊合約中的NFT來轉移用戶向ExchangeV4合約授權的代幣。

3.攻擊完成后，攻擊者將所盜資產轉移至Tornado.Cash。

本次攻擊主要利用了在ExchangeV4合約中創建的NFT訂單地址可以被指定，并且在交易中只驗證了賣方簽名就進行轉賬，導致用戶在有向ExchangeV4進行ERC20代幣授權的情況下，攻擊者可以創建自己的NFT單方面進行交易，將虛假的NFT轉移給用戶換出用戶向ExchangeV4合約授權的代幣。

在fillSellOrder函數中，攻擊者可以指定出售的NFT地址，并且在驗證中只驗證了攻擊者的簽名，而未驗證買方的簽名。那么攻擊者可以通過驗證，并在調用_fillSellOrder函數時，將攻擊合約的NFT轉移給買方，并執行_sendERC20PaymentsWithRoyalties函數轉移買方向合約授權的ERC20代幣

截止發文時，攻擊者獲利約847個BNB，當前攻擊者已將所盜資金向Tornado.Cash轉移。

針對本次事件，成都鏈安安全團隊建議：

1.在實現簽名交易的功能時，需要驗證買賣雙方的簽名。

2.用戶需要避免過度授權保證財產安全。

3.項目上線前，建議選擇專業的安全審計公司進行全面的安全審計，以規避安全風險。

Tags：OPTIPTIOPTTIMOptimism BOBINCEPTION幣opticalnetworkboxtimenewbank

火幣APP下載