以太坊 L2 解決方案 Optimism 生態上最大的 NFT 市場 Quixotic 在 1 日遭駭,目前官方已全數補償受影響用戶的損失、恢復了平台交易。至於被駭客竊走的 857 枚 BNB,則已匯入混幣器 Tornado。
(前情提要:NFT借貸協議 XCarnival 遭駭損失 387 萬鎂,協商駭客 1500 ETH 賞金與免除刑責)
(背景補充:V神大讚 Optimism 社群治理文化!OP 谷底反彈大漲 57%)
以太坊 L2 解決方案 Optimism 上最大的 NFT 交易市場 Quixotic,在上週五(1)日證實,其最近更新的市場合約中存在漏洞,遭駭客利用後竊取了部分 ERC-20 代幣,當時官方針對受影響互用和平台服務表示:
- 將退還用戶所有被盜的 ERC-20 代幣,退款將在幾天內自動發送
- NFT 依舊安全,並沒有受到漏洞的影響
- 被利用的合約已永久暫停,Quixotic 所有市場活動也已暫停
受影響用戶資金已進行補償、恢復市場交易
幾個小時後,Quixotic 在 2 日上午發推表示,所有受影響用戶資金已進行補償:
所有受影響的用戶現在都應該收回 100% 的資金。總共有 145,000 美元被退回到 870 個錢包。
All impacted users should have 100% of their funds back now. In total, about $145,000 was returned to 870 wallets. https://t.co/lkeDwJfBLj
— Quixotic 🔴✨ – Optimism NFT Marketplace (@quixotic_io) July 1, 2022
大約今(4)日凌晨兩點,Quixotic 也表示已恢復平台上的購買和上架功能,感謝所有用戶的耐心等待。萬幸的是這次攻擊損失的金額並不多,官方快速的補償和處理,也受到了大多數用戶的讚賞。
We have resumed purchases and listings on our marketplace. Thanks to everyone for your patience 🙏
— Quixotic 🔴✨ – Optimism NFT Marketplace (@quixotic_io) July 3, 2022
攻擊者已將 857 枚 BNB 匯入 Tornado
至於這次攻擊發生的主因,據成都鏈安稍早報導,駭客是利用了該平台在 ExchangeV4 合約中創建的 NFT 訂單地址可以被指定,並且在交易中只驗證了賣方簽名就進行轉帳的漏洞,導致用戶在有向 ExchangeV4 進行 ERC20 代幣授權的情況下,攻擊者可以創建自己的 NFT,單方面進行交易,將虛假的 NFT 轉移給用戶後換出用戶向 ExchangeV4 合約授權的代幣。
另外據 PeckShield 稍早監測顯示,發起這次攻擊的駭客已將 857 枚 BNB (現價約:18.5 萬美元)贓款轉入混幣器 Tornado.cash。
#PeckShieldAlert ~857 $BNB (~$185k) into @TornadoCash from @quixotic_io exploiters pic.twitter.com/C40Y4aqnps
— PeckShieldAlert (@PeckShieldAlert) July 4, 2022
