比特丛林：Exactly Protocol遭跨链桥攻击，损失达1204万美元

01

涉案资金流向

  攻击者（0xe4f34a72d7c18b6f666d6ca53fbc3790bc9da042）已窃取4323枚ETH，截止到本分析完成时，已有1500 ETH通过 Across Bridge 转移到Ethereum，其余的2833以太币仍处于通过 Optimism Bridge 向Ethereum转移的过程中。

02

被攻击原因分析

 https://www.oklink.com/cn/optimism/address/0xe4f34a72d7c18b6f666d6ca53fbc3790bc9da042/token-transfer

以其中一笔交易为例，并分析合约.

https://github.com/exactly/protocol/blob/8522222d9dcc017ce7a27dc33ca821c8bd4fd536/contracts/periphery/DebtManager.sol#L759

https://explorer.phalcon.xyz/tx/optimism/0x3d6367de5c191204b44b8a5cf975f257472087a9aadc59b5d744ffdef33a520e?line=3234&debugLine=3234

  通过分析可得知攻击者通过传递虚假的market并替换 _msgSender 为受害者地址，进而绕过 DebtManager 中的检查，随后通过 crossDeleverage 函数从 _msgSender 中窃取抵押品。 

03

本次安全事件造成的影响

  本次攻击事件会导致用户和投资者的信心受损：这些攻击和漏洞可能会让一些用户和投资者Optimism链和Exactly Protocol项目感到担忧，用户可能担心他们的资金和个人信息的安全性，这可能导致用户减少或停止使用该平台，从而减少生态系统的活跃度。

04

规避风险的措施

为了避免类似的风险，建议采取以下措施：
·加强安全审计：对区块链项目进行全面的安全审计，包括智能合约代码审计和系统架构审查，以发现潜在的安全漏洞和风险。
·高度关注攻击向量：了解当前常见的攻击方式和漏洞利用技术，并采取相应的防御措施，如限制智能合约的权限、使用多重签名等。
·社区监督和反馈：建立积极的社区监督机制，鼓励用户和安全专家报告发现的安全问题，并及时响应和解决这些问题。

比特丛林官方账号

官方推特｜bitjungle_team 

 官方邮箱｜bitjungle@163.com

官方微博｜青岛比特丛林科技有限公司

关于我们

  比特丛林是一家全球领先的区块链安全公司，专注于区块链安全研究，是区块链安全技术的开拓者。业务内容涵盖安全事件溯源、智能合约审计、安全评估等内容。

  公司总部位于青岛，业务直至今日已拓展到北京、上海等地区，并于2023年成功在深圳地区成立分公司，在业内具有较高知名度和水准。      

  比特丛林作为一家专业的区块链安全公司，拥有丰富的经验和先进的技术工具，能够对大数据进行高效的处理和分析。多年来通过数据挖掘和智能合约等技术手段，多次全力配合警方侦破数字资产案件，得到了警方的认可和支持。

比特丛林官网

https://www.bitjungle.cn/

如果您有案件上报或者有资金安全问题，请随时联系我们