2022年10月2日,據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示,TransitSwap項目遭受攻擊,被盜約2100萬美元。關于本次事件,成都鏈安安全團隊第一時間進行了分析。
首先在今早發現被盜后,TransitSwap技術團隊緊急暫停服務,無法進行任何操作,很多用戶也在社交平臺紛紛表示自己錢包的資產被盜。
據悉,本次事件的主角TransitSwap是某加密錢包下的閃兌交易平臺。
ApeCoin官方合約APE質押量已突破800萬枚:12月7日消息,據ApeCoin官方質押合約數據顯示,自質押功能上線以來APE質押量已突破800萬枚,截至目前為8,007,716.8237APE,價值約合33,392,179.15美元。
此前報道,Horizen Labs披露APE的質押獎勵將會在12月12日開始發放,未來三年將通過質押獎勵1.75億枚APE(占總供應量的17.5%),其中1億枚分配給第一年的獎勵。[2022/12/7 21:27:35]
首先我們需要知道什么是閃兌?
很多加密錢包出了閃兌功能,之所以叫這個名字主要就是因為不同數字貨幣之間的交易速度很快,因為閃兌不需要像交易所那樣來撮合買方和賣方之間的訂單,閃兌更像是柜臺交易,就像去銀行拿美元兌換人民幣,在匯率已知的情況下,給多少美元,銀行就會根據匯率兌換給你相應數量的人民幣。
數據:以太坊2.0存款合約地址余額突破320萬ETH:據歐科云鏈OKLink數據顯示,當前以太坊2.0存款合約地址已收到3200002.0ETH,占以太坊當前流通量的2.79%,距離524288枚ETH啟動以太坊2.0創世區塊的最低要求已完成610.35%。[2021/2/22 17:40:31]
閃兌除了兌換交易速度快之外,還有一些其他的功能,這也是很多用戶使用它的原因。
下面,我們回到本次事件技術層面來分析。
BSC鏈上的攻擊交易:
https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189
公告 | ASPMEX(菠蘿合約)正式上線公測:據官方消息,離岸銀行控股持牌合約交易所ASPMEX(菠蘿合約)在全球多地同步上線,它具備正向合約模式,低廉的交易成本,現貨行情無操縱,無插針、和傻瓜式操作等特點,ASPMEX內測開放一天時間,交易額突破上億。此外,ASPMEX將推出用戶注冊,送100USDT和100000體驗金,招募合約交易員等活動。
?
ASPMEX和Asproex都隸屬于Aspro Digital國際金融集團,都堅持走合規合法道路,持有加勒比海地區全金融牌照、美國MSB牌照、加拿大MSB牌照、澳大利亞DCE牌照及愛沙尼亞MTR牌照。官方表示,未來ASPMEX將繼續在高速發展的國際環境中持續發力,構建全方位服務模式和尖端硬核基礎,打造安全、易用、低成本、數據透明的數字資產合約交易平臺。[2020/1/10]
以太坊上的攻擊交易:
動態 | 美國芝商所比特幣期貨合約多頭頭寸呈上升趨勢:加密分析師Skew匯編的數據顯示,美國芝商所(CME)的比特幣期貨合約自本月初以來,多頭頭寸呈上升趨勢。10月22日的最新數據顯示,機構投資者的多頭頭寸價值從10月1日的不足500 BTC(411萬美元)升至10月16日的1,000 BTC以上(823萬美元),持續緩慢的增長不同于過去幾個月中看到的任何變化。Skew指出其“機構”的定義包括養老基金、捐贈基金、保險公司、共同基金和投資經理等。(cointelegraph)[2019/10/22]
https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7
用戶進行swap兌換時,正常流程是先通過TransitCrossRouterv3合約選擇路由合約,隨后通過TransitSwap&CrossApproveProxy合約進行權限驗證后,調用claimTokens函數將用戶兌換的token轉入路由合約中。而TransitSwap合約實現時,上述三個合約均未對用戶輸入數據進行正確的驗證,導致攻擊者可以構造出任意指定的兌換數據calldata,其中可以將授權過的用戶的代幣轉入攻擊者指定的任意地址之中。
這個合約未對下面的calldata進行驗證,解析后為下圖的input,里面指定了收款人為攻擊者地址。
攻擊者就通過這種方式,共獲利約2100萬美元。隨后將資金歸集到獲利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,
但是項目方依然沒有放棄,隨后TransitSwap官方發布公告稱,目前已確定黑客IP、電子郵件地址,以及相關的鏈上地址。TransitSwap團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。
隨著事件的影響力擴大,攻擊者似乎也知道真實身份難保。也可能是被項目方“感化”,這位攻擊者決定退回盜取的資產。
截止發稿前,目前攻擊者已將BNB鏈上的37,000BNB和1500ETH,以太坊上的3,180ETH歸還給項目方。2500BNB被轉移到Tornado.Cash,剩余的12,612BNB仍在攻擊者地址上,價值約356萬美元。成都鏈安鏈必追-虛擬貨幣案件智能研判平臺正在對被盜資金進行實時追蹤。
從本次事件,我們可以看到,合約授權依然潛藏著諸多風險。
來源:成都鏈安
Tags:RANSWAPTRANSASPRANKERPushswapEvident Proof Transaction TokenASPO價格
加密做市商Wintermute遭到黑客攻擊,造成了1.625億美元的天價資產損失。CertiK安全專家經過初步調查分析,認為此次攻擊是由于私鑰泄漏所導致,而非智能合約漏洞.
1900/1/1 0:00:00微信公眾平臺《行為規范》新增數字藏品交易行為相關條款,明確提出從事虛擬貨幣或數字藏品類業務為違規經營行為,提供數字藏品二級交易服務將被封號.
1900/1/1 0:00:00文:BenGiove 來源:Bankless 投資既是金融學的練習,也是心理學的練習。做好基本面研究是必須的,但投資者控制情緒行為和心態的能力對獲得成功也至關重要.
1900/1/1 0:00:00DeFi數據 1.DeFi代幣總市值:442.11億美元 DeFi總市值數據來源:coingecko2.過去24小時去中心化交易所的交易量29.
1900/1/1 0:00:00金色財經報道,美國商品期貨交易委員會在美國加利福尼亞州北區地方法院對OokiDAO提起訴訟,并對OokiDAO處以25萬美元罰款.
1900/1/1 0:00:00DeFi數據 1.DeFi代幣總市值:442.58億美元 DeFi總市值數據來源:coingecko2.過去24小時去中心化交易所的交易量32.
1900/1/1 0:00:00