BTC/HKD-0.39%
ETH/HKD+0.04%
LTC/HKD+0.05%
ADA/HKD+0.64%
SOL/HKD-0.24%
XRP/HKD-1.17%10月2日消息,據慢霧安全團隊情報,2022年10月2號跨鏈DEX聚合器TransitSwap項目遭到攻擊,導致用戶資產被非預期的轉出。慢霧安全團隊分析評估此次被盜資金規模超過2300萬美元,黑客地址為0x75F2...FD46和0xfa71...90fb。接著對此次攻擊過程進行了分析:
1. 當用戶在Transit Swap進行swap時,會先通過路由代理合約(0x8785bb...)根據不同的兌換類型選擇不同的路由橋合約。隨后路由橋合約(0x0B4727...)會通過權限管理合約(0xeD1afC...)的 claimTokens 函數將用戶待兌換的代幣轉入路由橋合約中。因此在代幣兌換前用戶需要先對權限管理合約(0xeD1afC...)進行授權。
2. 而 claimTokens 函數是通過調用指定代幣合約的 transferFrom 函數進行轉賬的。其接收的參數都由上層路由橋合約(0x0B4727...)傳入,本身沒有對這些參數進行任何限制只檢查了調用者必須為路由代理合約或路由橋合約。
3. 路由橋合約(0x0B4727...)在接收到用戶待兌換的代幣后會調用兌換合約進行具體的兌換操作,但兌換合約的地址與具體的函數調用數據都由上層路由代理合約(0x8785bb...)傳入,路由橋合約并未對解析后的兌換合約地址與調用數據進行檢查。
4. 而代理合約(0x8785bb...)對路由橋合約(0x0B4727...)傳入的參數也都來自于用戶傳入的參數。且代理合約(0x8785bb...)僅是確保了用戶傳入的 calldata 內各數據長度是否符合預期與所調用的路由橋合約是在白名單映射中的地址,未對 calldata 數據進行具體檢查。
5. 因此攻擊者利用路由代理合約、路由橋合約與權限管理合約均未對傳入的數據進行檢查的缺陷。通過路由代理合約傳入構造后的數據調用路由橋合約的 callBytes 函數。callBytes 函數解析出攻擊者指定的兌換合約與兌換數據,此時兌換合約被指定為權限管理合約地址,兌換數據被指定為調用 claimTokens 函數將指定用戶的代幣轉入攻擊者指定的地址中。實現了竊取所有對權限管理合約進行授權的用戶的代幣。
此次攻擊的主要原因在于 Transit Swap 協議在進行代幣兌換時并未對用戶傳入的數據進行嚴格檢查,導致了任意外部調用的問題。攻擊者利用此任意外部調用問題竊取了用戶對Transit Swap授權的代幣。
截止到目前,黑客已將 2,500 BNB 轉移到 Tornado Cash,剩余資金分散保留在黑客地址中。經過黑客痕跡分析發現,黑客存在從 LATOKEN 等平臺存提款的痕跡。慢霧 MistTrack 將持續跟進被盜資金的轉移以及黑客痕跡的分析。
其它快訊:
安全團隊:rugpullfinder Discord服務器已被入侵:金色財經報道,據CertiK監測顯示,NFT開源情報供應商@rugpullfinder Discord服務器已被入侵。在#hack-warnings頻道里有一個釣魚鏈接。
請不要點擊鏈接,Mint,或批準任何交易。[8/17/2022 7:59:06 PM]
安全團隊:多鏈NFT協議Citizen Finance疑似被攻擊:7月12日消息,PeckShield(派盾)監測顯示,多鏈NFT協議Citizen Finance疑似被攻擊,代幣CIFI已下跌逾50%,244枚BNB和5.76萬枚MATIC被盜。[7/12/2022 9:45:34 AM]
安全團隊:約300枚BNB從DAO Maker攻擊者地址轉入Tornado Cash:金色財經消息,據派盾監測,約300枚BNB從DAO Maker攻擊者地址轉入Tornado Cash。
注:去年8月,DAO Maker遭受黑客攻擊,被盜價值700萬美元的USDC。[6/4/2022 11:29:19 AM]
10月2日消息,據NFTGo.io數據顯示,Bored Ape Yacht Club#8585 以777ETH(約合102萬美元)的價格成交,以ETH計價排名交易記錄第三.
Block Chain:10/2/2022 6:18:41 AM10月2日消息,加密借貸平臺Celsius近日在向紐約南區美國破產法院提交的一份文件中表示,在其第11章訴訟期間,它不尋求強制執行未償貸款的付款義務,借款人不需要償還此類貸款,貸款到期后不會評估利息或罰款.
Block Chain:10/2/2022 6:18:38 AM10月2日消息,據The Block加密研究指導Lars發推稱,以太坊NFT市場9月交易量較8月下降17.6%,降至5.04億美元.
Block Chain:10/2/2022 6:18:37 AM10月2日消息,加密錢包Token Pocket旗下閃兌交易DEX Transit Swap官方發布公告稱,此前黑客攻擊事件原因系代碼錯誤,目前已確定黑客 IP、電子郵件地址,以及相關的鏈上地址.
Block Chain:10/2/2022 6:18:35 AM10月2日消息,TokenPocket上的閃兌應用transit swap遭受黑客攻擊,預估損失金額超過2000萬美金。 歐易Web3錢包已對與該事件黑客地址進行地址打簽,并對合約交互、專項等行為進行攔截與風險提示.
Block Chain:10/2/2022 6:18:34 AM10月2日消息,數據顯示,9月26日至今,ARK方舟基金累計增持205079股Coinbase股票(COIN),價值1323萬美元。截止周五收盤,COIN收盤報64.49美元,日內上漲4.1%.
Block Chain:10/2/2022 6:18:32 AM10月2日消息,CryptoPunk #5944(僵尸特征)以980 ETH(約128.4萬美元)的價格出售,購買者地址為0x95b2917b823bafd819acec46f45c6744b9c545a5.
Block Chain:10/2/2022 6:18:29 AM10月2日消息,據派盾檢測,Transit Swap Exploiter地址(0x75f開頭)已將3180 ETH(價值約417萬美元)轉移到“0xfab”開頭的地址.
Block Chain:10/2/2022 6:18:28 AM10月2日消息,Terra Classic (LUNC)核心開發者Edward Kim提議移除Terra Swap的穩定幣交易模塊.
Block Chain:10/2/2022 6:18:27 AM金色財經報道,數據顯示,當前GBTC價格為11.41美元,溢價率一度跌至-36.38%,創歷史新低,現報-36.19%。此外,截止美東時間10月1日,灰度 BTC信托持倉量已降至635236枚BTC.
Block Chain:10/2/2022 6:18:25 AM金色財經報道,據NFTGo.io數據最新數據顯示,以太坊域名服務(ENS)NFT總市值為50,473 ETH,過去24小時的交易額為4,654.06 ETH,漲幅達22.56%;地板價為0.0008 ETH,持有NF...
Block Chain:10/2/2022 6:18:17 AM