比特币:2000万OP被盗事件安全启示:多签钱包使用者需警惕哪些风险?

6月9日,Optimism在社交媒体上公布,由于与加密货币做市商Wintermute合作过程中的沟通与技术失误,目前已有2000万枚OP被黑客控制。起初,由Optimism基金会向Wintermute发送2000万枚OP用于做市,而后Wintermute发现其提供的接收地址是Layer1地址,在Wintermute将其转向Layer2前,攻击者已抢先使用不同的初始化参数将其部署。截至目前,黑客已抛售约100万枚被盗OP。

对此事件,以太坊开发者KelvinFichter解释了漏洞被攻击的原因,他表示,智能合约账户与EOA不同,普通EOA用户可以访问任意EVM链的账户,但智能合约账户不能。以下文字整理于KelvinFichter在社交媒体的发言。

Elon Musk在特斯拉私有化证券欺诈案件中被判无罪,但狗狗币诉讼仍未结案:金色财经报道,指控特斯拉首席执行官 Elon Musk 在该公司私有化过程中涉嫌证券欺诈的案件中,陪审团成员已宣布他无罪且不承担责任。Elon Musk 的律师表示,Elon Musk 没有意识到他在 2018 年关于特斯拉私有化的推文会被如何解读,而且 Elon Musk 在庭审期间表示相信自己的推文是诚实的。此前股东对 Elon Musk 发起诉讼,认为它最终没有将公司私有化,导致投资者根据虚假信息做出了投资决定。据悉,Elon Musk 因为在推文中支持狗狗币也面临到起诉,目前该诉讼案件尚未结案,诉讼索赔金额高达 2580 亿美元,但迄今为止 Elon Musk 没有因为发布比特币相关推文面临任何诉讼。(CNBC )[2023/2/4 11:47:11]

需要说明,此事件不是Optimism或GnosisSafe中任何漏洞的结果,而是源于在旧版本的GnosisSafe中做出的安全假设。

彭博社:美国银行的加密用户在熊市中减少一半:7月1日消息,由于数字资产市场长期低迷,美国银行活跃的加密货币用户数量下降了一半以上。该银行的加密货币用户从2021年11月比特币创新高时的100多万降至今年5月的50万以下。(彭博社)[2022/7/1 1:44:36]

旧版本的GnosisSafe工厂合约是通过没有链ID的交易部署的。这意味着可以在以太坊以外的链上重置这些交易。在某些方面,这真的很有用。这意味着可以将同一工厂部署到每条链上同一地址上。正如现在工厂被部署到Optimism。

数据:萨尔瓦多、MicroStrategy、特斯拉和Block的比特币投资未实现亏损扩大:6月13日消息,在周一的加密货币市场动荡之后,萨尔瓦多、MicroStrategy、特斯拉和Block的比特币持仓出现了更严重的未实现亏损。

根据Coinbase通过TradingView提供的数据,比特币价格暴跌至自2020年12月以来的低点,过去24小时下跌超过10%,截至美国东部时间7点15分,转手价格为23750美元。

据最新统计,萨尔瓦多拥有2301枚比特币,平均购买价格为45171.86美元。截至周一,该国的比特币投资正在迅速接近高达50%的未实现亏损。

MicroStrategy目前拥有129218枚比特币,平均购买价格为30700美元,未实现亏损达18%——尽管Michael Saylor坚持认为他的公司没有必要考虑出售比特币。

与此同时,特斯拉拥有约4.2万枚比特币,平均购买价格为31620美元,未实现亏损略高于20%。

最后,Jack Dorsey的Block(前身为Square)持有8027枚比特币,未实现亏损略高于8%,平均购买价格最低,为27407美元。

根据The Block Research仪表盘的数据,目前有72%的比特币供应是盈利的,低于一个月前的92%。(The Block)[2022/6/13 4:23:17]

不幸的是,在使用这个较旧的工厂合约时,GnosisSafeUI有时会使用createProxy函数,该函数通过CREATE而不是CREATE2创建多重签名。与CREATE2不同,通过CREATE创建的合约地址不是基于用于创建合约的代码,而仅基于创建者地址的nonce。这意味着攻击者可以将旧的Safe工厂部署到Optimism并开始重新触发createProxy函数以在L2上创建多重签名。

但是,由于createProxy使用CREATE而不是CREATE2,因此攻击者能够初始化这些多重签名,从而使它们归攻击者所有。

用户通常假设他们可以在以太坊上访问的任何帐户也可以在其他基于EVM的链上访问。对于EOA账户,这通常是正确的。但这不一定适用于智能合约账户。可以使用完全不同的代码在不同链上的相同地址创建合约,从而产生完全不同的所有者。

像这样的误解会在现实世界中产生严重的后果。上周,Wintermute接受了2000万个OP代币的贷款,借给他们认为可以在L2上访问的L1多重签名钱包。这个L2地址是攻击者后来部署的多重签名之一。

这些是多链世界的成长之痛。很不幸,但它强调了为多链用户设计系统的重要性。CREATE2和确定性部署至关重要,尤其是对于合约钱包。

如果你在以太坊上使用多重签名钱包,我强烈建议你花时间了解钱包的安全属性,以及你是否会在以太坊以外的链上控制该钱包。

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:124ms0-7:852ms