2022年10月2日,據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示,TransitSwap項目遭受攻擊,被盜約2100萬美元。關于本次事件,成都鏈安安全團隊第一時間進行了分析。
首先在今早發現被盜后,TransitSwap技術團隊緊急暫停服務,無法進行任何操作,很多用戶也在社交平臺紛紛表示自己錢包的資產被盜。
據悉,本次事件的主角TransitSwap是某加密錢包下的閃兌交易平臺。
以太坊2.0存款合約總價值達8,537,426枚ETH 創歷史新高:金色財經報道,據Glassnode Alerts消息,以太坊2.0存款合約總價值達8,537,426枚ETH,創下歷史新高。上一次歷史高點發生在11月5日,當時以太坊2.0存款合約總價值為8,536,338ETH。[2021/12/6 12:53:13]
首先我們需要知道什么是閃兌?
很多加密錢包出了閃兌功能,之所以叫這個名字主要就是因為不同數字貨幣之間的交易速度很快,因為閃兌不需要像交易所那樣來撮合買方和賣方之間的訂單,閃兌更像是柜臺交易,就像去銀行拿美元兌換人民幣,在匯率已知的情況下,給多少美元,銀行就會根據匯率兌換給你相應數量的人民幣。
火幣YFII、SUSHI、YFV、PEARL、GXC和TRB永續合約已正式上線:據火幣官方消息,火幣YFII(DFI.Money)、SUSHI(Sushi)、YFV(YFValue)、PEARL(Pearl)、GXC(GXChain)和TRB(Tellor)永續合約已于新加坡時間9月9日16點正式上線。用戶現可在平臺進行劃轉、交易等操作。
據悉,火幣永續合約在每個新品種上線前,平臺均會提前配置一定額度風險準備金,以最大可能保護用戶權益。在此六大幣種上線前,火幣合約已向其永續合約風險準備金余額中分別注入30個YFII、36,000個SUSHI、4,500個YFV、80個PEARL、170,000個GXC和3,000個TRB。
此次六大熱門幣同時上線后,火幣永續合約已覆蓋了包括LINK、COMP、CRV等24個優質DeFi資產在內的共計五十五大主流幣種,成為 一家整體市場份額最大、DeFi等熱門資產齊全的幣本位衍生品交易所。詳情請查看火幣合約官網公告。[2020/9/9]
閃兌除了兌換交易速度快之外,還有一些其他的功能,這也是很多用戶使用它的原因。
24小時BTC全網合約成交數據顯示:多方占優:據合約帝數據顯示,最近24小時BTC全網合約成交量中開多比例為50.19%,開空比例為49.81%。主流合約交易所中,Huobi季度開多比例為49.56%,開空比例為50.44%;OKEx季度開多比例為50.24%,開空比例為49.76%;BitMEX合約開多比例為50.90%,開空比例為49.10%。[2020/6/3]
下面,我們回到本次事件技術層面來分析。
BSC鏈上的攻擊交易:
https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189
BTC全網合約賬戶占比最新統計:空頭占優:金色財經報道,據AICoin全網合約賬戶占比統計顯示,目前行情空頭占優,其中多頭占比為48.66%,空頭占比為51.34%。 主流合約交易所中,Huobi的多頭占比為49.20%,空頭占比為50.80%;OKEx的多頭占比為49.81%,空頭占比為50.19%;BitMex的多頭占比為46.94%,空頭占比為53.06%。[2020/3/11]
以太坊上的攻擊交易:
https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7
用戶進行swap兌換時,正常流程是先通過TransitCrossRouterv3合約選擇路由合約,隨后通過TransitSwap&CrossApproveProxy合約進行權限驗證后,調用claimTokens函數將用戶兌換的token轉入路由合約中。而TransitSwap合約實現時,上述三個合約均未對用戶輸入數據進行正確的驗證,導致攻擊者可以構造出任意指定的兌換數據calldata,其中可以將授權過的用戶的代幣轉入攻擊者指定的任意地址之中。
這個合約未對下面的calldata進行驗證,解析后為下圖的input,里面指定了收款人為攻擊者地址。
攻擊者就通過這種方式,共獲利約2100萬美元。隨后將資金歸集到獲利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,
但是項目方依然沒有放棄,隨后TransitSwap官方發布公告稱,目前已確定黑客IP、電子郵件地址,以及相關的鏈上地址。TransitSwap團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。
隨著事件的影響力擴大,攻擊者似乎也知道真實身份難保。也可能是被項目方“感化”,這位攻擊者決定退回盜取的資產。
截止發稿前,目前攻擊者已將BNB鏈上的37,000BNB和1500ETH,以太坊上的3,180ETH歸還給項目方。2500BNB被轉移到Tornado.Cash,剩余的12,612BNB仍在攻擊者地址上,價值約356萬美元。成都鏈安鏈必追-虛擬貨幣案件智能研判平臺正在對被盜資金進行實時追蹤。
從本次事件,我們可以看到,合約授權依然潛藏著諸多風險。
來源:成都鏈安
來源:HaunVentures編譯:比推BitpushNewsMaryLiu在HaunVentures,我們認為新事物需要新規則是我們倡導Web3的核心.
1900/1/1 0:00:00雖然黃仁勛嘴里口口聲聲喊著“元宇宙”的主意,但內心卻滿是英偉達的生意。日前,英偉達在GTC大會上正式發布了采用AdaLovelace架構的RTX40系列GPU,首發型號共包括RTX4090、RT.
1900/1/1 0:00:00原文作者:jonlai,a16z合伙人 編譯:Claudia 在區塊鏈或者?Web3的敘事中,最常見的一個思路是,用“Token”激勵行為,因此很多創業者的常見敘事是,“因為我給了激勵.
1900/1/1 0:00:00金色財經編輯部每晚為讀者精挑了當天最值得精讀的5篇文章,希望您每一天都能獲得新的知識財富。1、加密市場四季度有哪些值得關注的敘事世界杯、球迷代幣、Berachain、Cosmos2.0、去中心化.
1900/1/1 0:00:00TL;DR 1.熊市中穩定幣交易平臺、衍生品交易平臺增長潛力提升;2.AMM+NFT是DEX發展的新趨勢;3.新公鏈DEX增長迅速.
1900/1/1 0:00:00SparkDAO是一支專注在數字加密領域的投研小組,成員分布在全球。我們熱衷于挖掘數字加密領域的底層邏輯和前沿賽道.
1900/1/1 0:00:00