KEN:詳解Qubit項目QBridge被黑始末：不翼而飛的8000萬美元

據慢霧區情報，2022年01月28日，Qubit項目的QBridge遭受攻擊，損失約8000萬美金。慢霧安全團隊進行分析后以簡析的形式分享給大家。

簡要分析

1.攻擊者通過ETH上的QBridge合約進行存款操作，存款時傳入所要跨的目標鏈destinationDomainID、所要跨鏈的資產resourceID以及跨鏈資金數量與接收地址等參數構成的data。2.攻擊者指定傳入的resourceID為跨ETHToken所需要的值，但其調用的是QBridge的deposit函數而非depositETH函數，因此首先繞過了跨鏈資金數量與msg.value的檢查。deposit函數會根據resourceID從映射中取出handler地址進行充值，由于攻擊者傳入的是真實的跨ETHToken所需要的值所以可以順利調用handler合約的deposit函數。3.handler合約的deposit函數中會根據resourceID取出的所要充值的Token是否在白名單內進行檢查，由于攻擊者傳入的resourceID對應ETH，因此映射中取出的所要充值的Token為0地址，即會被認為是充值ETH而通過了白名單檢查。但deposit函數中卻并沒有對所要充值的Token地址再次進行檢查，隨后直接通過safeTransferFrom調用了所要充值的Token的transferFrom函數。4.由于所要充值的Token地址為0地址，而call調用無codesize的EOA地址時其執行結果都會為true且返回值為空，因此通過transferFrom的轉賬操作通過了safeTransferFrom的檢查，最后觸發了Deposit跨鏈充值事件。5.由于傳入的resourceID為跨ETH所需要的值，因此觸發的Deposit事件與真正充值ETH的事件相同，這讓QBridge認為攻擊者進行了ETH跨鏈，因此在BSC鏈上為攻擊者鑄造了大量的qXETHToken。攻擊者利用此qXETH憑證耗盡了Qubit的借貸池。MistTrack分析

Hinman曾計劃打電話給V神以了解以太坊基金會的運作方式:金色財經報道，美國證券交易委員會對Ripple Labs提起的訴訟中最新公布的文件顯示，在2018年，前美國證券交易委員會主任William Hinman計劃與以太坊聯合創始人Vitalik Buterin進行對話，以了解以太坊基金會如何運作以“證實”他的立場，即ETH不是證券。

Hinman在2018年的一次著名演講中認為，以太坊網絡的原生資產不需要作為證券進行監管，此后 Ripple Labs 在針對美國證券交易委員會的指控進行辯護時經常引用這一觀點。最近浮出水面的文件得以一窺SEC在Hinman演講之前的內部討論，他在演講中暗示比特幣和以太坊不是證券。[2023/6/13 21:34:20]

慢霧AML旗下MistTrack反洗錢追蹤系統分析發現，攻擊者地址(0xd01...5c7)首先從Tornado.Cash提幣獲取初始資金，隨后部署了合約，且該攻擊者地址交互的地址是Qubit、PancakeSwap和Tornado.Cash合約地址。目前資金未發生進一步轉移。慢霧AML將持續監控被盜資金的轉移，拉黑攻擊者控制的錢包地址，提醒交易所、錢包注意加強地址監控，避免相關惡意資金流入平臺。

比特幣與大型科技公司股票之間的相關性接近2021年以來低點:5月20日消息，隨著圍繞股票和加密貨幣的情緒出現分歧，比特幣與科技股的關聯程度有所下降，接近2021年以來的最低水平。上周，比特幣價格一直低于2.7萬美元的水平，而以科技股為主的納斯達克100指數上漲了3.5%。分析稱，3月份的銀行業危機可能促成了兩者關聯性的下降。[2023/5/20 15:15:39]

總結

美聯儲副主席：我們應該在制定加密貨幣全球標準方面發揮關鍵作用:金色財經報道，美聯儲副主席布雷納德表示，我們應該在制定全球標準方面發揮關鍵作用，最近穩定幣市場波動顯示了監管的必要性，還沒有就發行央行數字貨幣（CBDC）作出決定，全球經濟衰退風險已經增加，應該評估在沒有美元央行數字貨幣（CBDC）的情況下，美元可能受到的影響。數字金融系統需要明確的監管護欄，美元央行數字貨幣（CBDC）是確保美元繼續在全球使用的一種途徑，穩定幣等新式數字貨幣可能導致對手方風險私人資金可能產生消費者保護和金融穩定風險。[2022/5/26 3:42:17]

本次攻擊的主要原因在于在充值普通Token與nativeToken分開實現的情況下，在對白名單內的Token進行轉賬操作時未對其是否為0地址再次進行檢查，導致本該通過native充值函數進行充值的操作卻能順利走通普通Token充值邏輯。慢霧安全團隊建議在對充值Token進行白名單檢查后仍需對充值的是否為nativeToken進行檢查。參考交易：https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acfhttps://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02原地址

Tags：KENTOKTOKETOKENbhtetokenCryptoKnittiesMEXC TokenFNDZ Token

萊特幣價格