以太坊L2解决方案Optimism上最大的NFT交易市场Quixotic,在上周五(1)日证实,其最近更新的市场合约中存在漏洞,遭黑客利用后窃取了部分ERC-20代币,当时官方针对受影响互用和平台服务表示:
1、将退还用户所有被盗的ERC-20代币,退款将在几天内自动发送
2、NFT依旧安全,并没有受到漏洞的影响
3、被利用的合约已永久暂停,Quixotic所有市场活动也已暂停
受影响用户资金已进行补偿、恢复市场交易
几个小时后,Quixotic在2日上午发推表示,所有受影响用户资金已进行补偿:所有受影响的用户现在都应该收回100%的资金。总共有145,000美元被退回到870个钱包。
大约今(4)日凌晨两点,Quixotic也表示已恢复平台上的购买和上架功能,感谢所有用户的耐心等待。万幸的是这次攻击损失的金额并不多,官方快速的补偿和处理,也受到了大多数用户的赞赏。
攻击者已将857枚BNB汇入Tornado
至于这次攻击发生的主因,据成都链安稍早报导,黑客是利用了该平台在Exchange V4合约中创建的NFT订单地址可以被指定,并且在交易中只验证了卖方签名就进行转账的漏洞,导致用户在有向Exchange V4进行ERC20代币授权的情况下,攻击者可以创建自己的NFT,单方面进行交易,将虚假的NFT转移给用户后换出用户向Exchange V4合约授权的代币。
另外据PeckShield稍早监测显示,发起这次攻击的黑客已将857枚BNB(现价约:18.5万美元)赃款转入混币器Tornado.cash。