2022年10月2日,據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示,Transit Swap 項目遭受攻擊,被盜約2100萬美元。關于本次事件,成都鏈安安全團隊第一時間進行了分析。
首先在今早發現被盜后,Transit Swap 技術團隊緊急暫停服務,無法進行任何操作,很多用戶也在社交平臺紛紛表示自己錢包的資產被盜。
據悉,本次事件的主角Transit Swap是某加密錢包下的閃兌交易平臺。
當前BTC全網合約持倉總量76.81億美元 24小時增加4.19億美元:據合約帝持倉報告顯示,當前全網合約持倉總量為76.81億美元,24小時增加4.19億美元。其中,Huobi合約14.71億美元,24小時增加4.65%;OKEx合約19.65億美元,24小時增加3.56%;BitMEX合約7.72億美元,24小時增加6.27%;Binance合約15.13億美元,24小時增加2.42%;Bybit合約19.32億美元,24小時增加6.64%。[2021/3/3 18:11:37]
首先我們需要知道什么是閃兌?
很多加密錢包出了閃兌功能,之所以叫這個名字主要就是因為不同數字貨幣之間的交易速度很快,因為閃兌不需要像交易所那樣來撮合買方和賣方之間的訂單,閃兌更像是柜臺交易,就像去銀行拿美元兌換人民幣,在匯率已知的情況下,給多少美元,銀行就會根據匯率兌換給你相應數量的人民幣。
LendHub合約代碼已通過fairproof安全審計:據官方消息,LendHub合約代碼已通過知名安全公司fairproof的安全審計。目前,LendHub已通過3家第三方公司的安全審計,其它知名安全公司的審計也在進行中。
LendHub團隊尤其重視平臺底層技術與安全問題,始終把保護用戶的資產安全放在發展的首位,并時刻為用戶提供全方位的安全保障。
LendHub是一個基于火幣生態鏈Heco的去中心化借貸平臺,目前已支持12種資產借貸挖礦LHB,以及LHB-USDT和LHB-HT的流動性質押挖礦。[2021/2/10 19:27:35]
閃兌除了兌換交易速度快之外,還有一些其他的功能,這也是很多用戶使用它的原因。
AndreCronje:SLP合約中單邊LP和無常損失保護池間會產生0.2%的費用:yearn.finance(YFI)創始人AndreCronje就昨日部署的SushiswapV2ILProtection(SLP)合約解釋稱,SushiswapV2的無常損失保護和單邊LP機制的核心概念類似于yswap的原始迭代版本,即存入資產,并將該資產的價值引入系統,核心區別在于該資產不與美元掛鉤,資產的價值可以更高,但不能更低。另外,無常損失保護和單邊LP池之間的每筆交易都會產生0.2%的費用,用來自動從市場上購買wYFI。AndreCronje表示,目前仍需進行大量的審查,之后將不再提供公共UI,并將交互作用留給能夠自行識別并與SIL合約進行交互的高級用戶。(medium)[2021/1/12 15:57:05]
下面,我們回到本次事件技術層面來分析。
金色財經合約行情分析 | BTC再次向上突破將測試近三月高點:據火幣BTC永續合約行情顯示,截至今日18:00(GMT+8),BTC價格暫報10265美元(+4.17%),20:00(GMT+8)結算資金費率為0.076879%。
BTC昨晚6點在短時突破到10200美元后,回調至10000美元附近整理,于今日上午再次向上突破,最高至10380美元。根據火幣交割合約數據,BTC當季合約成交額繼續大幅增加,持倉量上升,精英多頭占比略減,當季合約溢價上升。市場整體情緒火爆,BTC整體走勢強勢,目前價位接近近三個月的高點。
USDT于火幣全球站OTC的報價為6.95元,溢價率為-0.84%。[2020/7/27]
BSC鏈上的攻擊交易:
https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189
以太坊上的攻擊交易:
https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7
用戶進行swap兌換時,正常流程是先通過Transit Cross Router v3合約選擇路由合約,隨后通過Transit Swap&Cross Approve Proxy合約進行權限驗證后,調用claimTokens函數將用戶兌換的token轉入路由合約中。而Transit Swap 合約實現時,上述三個合約均未對用戶輸入數據進行正確的驗證,導致攻擊者可以構造出任意指定的兌換數據calldata,其中可以將授權過的用戶的代幣轉入攻擊者指定的任意地址之中。
這個合約未對下面的calldata進行驗證,解析后為下圖的input,里面指定了收款人為攻擊者地址。
攻擊者就通過這種方式,共獲利約2100萬美元。隨后將資金歸集到獲利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,
但是項目方依然沒有放棄,隨后Transit Swap 官方發布公告稱,目前已確定黑客 IP、電子郵件地址,以及相關的鏈上地址。Transit Swap 團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。
隨著事件的影響力擴大,攻擊者似乎也知道真實身份難保。也可能是被項目方“感化”,這位攻擊者決定退回盜取的資產。
截止發稿前,目前攻擊者已將BNB鏈上的37,000 BNB 和1500 ETH,以太坊上的3,180 ETH歸還給項目方。2500 BNB被轉移到Tornado.Cash,剩余的12,612 BNB仍在攻擊者地址上,價值約356萬美元。成都鏈安鏈必追-虛擬貨幣案件智能研判平臺正在對被盜資金進行實時追蹤。
從本次事件,我們可以看到,合約授權依然潛藏著諸多風險。
來源:成都鏈安
財經法學
金色早8點
鏈捕手
PANews
Bress
Odaily星球日報
區塊律動BlockBeats
10月8日消息,MY EG Services Berhad (MYEG) 和 Mimos Technology Solutions Sdn Bhd (MTSSB) 簽署了一份諒解備忘錄 (MOU.
1900/1/1 0:00:00Justin Bieber 2022年1月30日,OpenSea 認證為 JustinBieberNFT 的地址以 500 ETH(約 130 萬美元)買入無聊猿 BAYC #3001.
1900/1/1 0:00:00在本文中,讓我們來探討正在構建的 NFT 的真實用例,以及它們將來的用途。 了解炒作周期 你聽說過蓋特納炒作周期嗎?它表明,顛覆性技術需要經歷 5 個關鍵階段:1. 技術觸發:潛在顛覆性技術的出.
1900/1/1 0:00:00作為從信息互聯網轉向價值互聯網的關鍵性技術,區塊鏈與數字資產的結合,是區塊鏈迄今為止最為令人矚目的社會實驗。要言之,區塊鏈給數字資產的創設、發行、保管、交易、使用等提供了新的范式.
1900/1/1 0:00:00新加坡金融監管局(MAS)新聞發言人再次向《區塊鏈日報》記者透露,目前已經向89家DPT申請的企業發出通知,如果申請人采取必要措施以滿足MAS對于持牌運營的要求.
1900/1/1 0:00:00從技術特性上來看,區塊鏈技術本身是一把「雙刃劍」,其去中心化、防篡改、匿名等特性在推動新一輪技術變革和產業創新的同時,也給安全監管工作帶來嚴峻挑戰.
1900/1/1 0:00:00