以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

詳解Qubit項目QBridge被黑始末:不翼而飛的8000萬美元_TOKEN:KEN

Author:

Time:1900/1/1 0:00:00

據慢霧區情報,2022年01月28日,Qubit項目的QBridge遭受攻擊,損失約8000萬美金。慢霧安全團隊進行分析后以簡析的形式分享給大家。

簡要分析

1.攻擊者通過ETH上的QBridge合約進行存款操作,存款時傳入所要跨的目標鏈destinationDomainID、所要跨鏈的資產resourceID以及跨鏈資金數量與接收地址等參數構成的data。2.攻擊者指定傳入的resourceID為跨ETHToken所需要的值,但其調用的是QBridge的deposit函數而非depositETH函數,因此首先繞過了跨鏈資金數量與msg.value的檢查。deposit函數會根據resourceID從映射中取出handler地址進行充值,由于攻擊者傳入的是真實的跨ETHToken所需要的值所以可以順利調用handler合約的deposit函數。3.handler合約的deposit函數中會根據resourceID取出的所要充值的Token是否在白名單內進行檢查,由于攻擊者傳入的resourceID對應ETH,因此映射中取出的所要充值的Token為0地址,即會被認為是充值ETH而通過了白名單檢查。但deposit函數中卻并沒有對所要充值的Token地址再次進行檢查,隨后直接通過safeTransferFrom調用了所要充值的Token的transferFrom函數。4.由于所要充值的Token地址為0地址,而call調用無codesize的EOA地址時其執行結果都會為true且返回值為空,因此通過transferFrom的轉賬操作通過了safeTransferFrom的檢查,最后觸發了Deposit跨鏈充值事件。5.由于傳入的resourceID為跨ETH所需要的值,因此觸發的Deposit事件與真正充值ETH的事件相同,這讓QBridge認為攻擊者進行了ETH跨鏈,因此在BSC鏈上為攻擊者鑄造了大量的qXETHToken。攻擊者利用此qXETH憑證耗盡了Qubit的借貸池。MistTrack分析

日本金融廳(FSA)預計,今年6月將允許使用部分穩定幣:1月25日消息,日本金融廳(FSA)正致力于解除對國內分銷穩定幣的禁令,計劃在今年晚些時候允許某些穩定幣進入市場。日本一家地方金融機構表示,預計最遲將于2023年6月通過允許投資者使用如USDT等穩定幣進行交易的新規定。日本金融廳發言人表示,“這并不意味著穩定幣將不受任何限制。”當局還強調,“在做出決定之前,FSA 不會披露任何此類信息。”

此前報道,日本議會在2022年6月通過了一項法案,要求穩定幣僅能與日元或另一國法幣掛鉤,并禁止外國穩定幣。FSA將在2023年1月31日前接受公眾對《支付服務法》進行修改的意見。(cointelegraph)[2023/1/26 11:30:20]

慢霧AML旗下MistTrack反洗錢追蹤系統分析發現,攻擊者地址(0xd01...5c7)首先從Tornado.Cash提幣獲取初始資金,隨后部署了合約,且該攻擊者地址交互的地址是Qubit、PancakeSwap和Tornado.Cash合約地址。目前資金未發生進一步轉移。慢霧AML將持續監控被盜資金的轉移,拉黑攻擊者控制的錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。

Meta將2022年元宇宙智能硬件出貨量縮減300萬臺:金色財經報道,據科技分析師郭明錤披露,Meta元宇宙智能硬件業務有下滑趨勢,將縮減2022年Oculus系列頭顯出貨量40%,從原有預期1000-1100萬臺下調至700-800萬臺。

此外,Meta還暫停了2024年之后的所有新的XR頭顯硬件項目。隨后郭明錤再次發文稱,發貨預測是基于調查和判斷,而不是官方數據。并更正稱2022年MetaVR頭顯出貨量下調幅度為25-35%,對應出貨量不變,為700-800萬臺。[2022/6/23 1:27:30]

拜登:隨著美聯儲通過大幅加息來抑制通脹,經濟衰退“并非不可避免”:6月17日消息,美國總統拜登表示,隨著美聯儲通過大幅加息來抑制通脹,經濟衰退“并非不可避免”。(金十)[2022/6/17 4:33:37]

總結

本次攻擊的主要原因在于在充值普通Token與nativeToken分開實現的情況下,在對白名單內的Token進行轉賬操作時未對其是否為0地址再次進行檢查,導致本該通過native充值函數進行充值的操作卻能順利走通普通Token充值邏輯。慢霧安全團隊建議在對充值Token進行白名單檢查后仍需對充值的是否為nativeToken進行檢查。參考交易:https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acfhttps://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02原地址

Tags:TOKENTOKEKENTOKWEN TokenCrystal Tokenushark AI tokenEMI Token

歐易okex官網
詳解Cardano生態龍頭「World Mobile」:改變現實世界的Web3項目_OBI:Mirror World Token

2019年,一家名為WorldMobile的項目去往了一個位于東非國家坦桑尼亞,總人口僅有約200人的偏遠小漁村,并在那里部署了兩個移動網絡節點.

1900/1/1 0:00:00
DeFi3.0板塊升溫?一文說透其概念、特點與生態情況_DEFI:Rise of Defenders

在市場疲軟的情況下,出道不久的DeFi3.0概念的代幣卻在近半月迎來暴漲,其中REFI和ECC近半個月漲幅分別約為968%和744%,帶動整個DeFi3.0板塊升溫.

1900/1/1 0:00:00
Footprint加密月報:Binance和Terra誰能穩坐公鏈第二的寶座?_PRI:noot幣今日價格

FootprintAnalyticsAnalyst:graceDataSource:FootprintAnalytics12月月報Dashboard繼11月加密市場各個領域迎來全面突破性增長.

1900/1/1 0:00:00
Nansen:Ronin如何成為推動Axie Infinity增長的引擎_RON:NAN

對于數以千計正在做鏈游和準備進軍鏈游的工作室,AxieInfinity是個謎團。為什么平淡無奇的游戲性卻能創造吸金10億美元的奇跡?本文揭示了Axie成功秘密的重要方面——專用區塊鏈.

1900/1/1 0:00:00
深度解析多簽賬戶:Web3時代的庫存_區塊鏈:安大元宇宙專業

互聯網正經歷著一場身份危機。網絡隨著2000年代社交平臺的出現而走向成熟。這些社交平臺創造了新的聯系形式,那時的人們希冀著網絡能成為一個開放管轄區,然而事實讓人大失所望.

1900/1/1 0:00:00
一文看懂芯片巨頭英偉達的元宇宙布局_MULTI:3KingdomsMultiverse

1、數據協同市面上已有3dsMax、Maya、Substance、虛幻引擎、Blender等眾多3D協同軟件,但數據在這些軟件中缺乏共用的數據流載體.

1900/1/1 0:00:00
ads