據慢霧區情報,2022年01月28日,Qubit項目的QBridge遭受攻擊,損失約8000萬美金。慢霧安全團隊進行分析后以簡析的形式分享給大家。
簡要分析
1.攻擊者通過ETH上的QBridge合約進行存款操作,存款時傳入所要跨的目標鏈destinationDomainID、所要跨鏈的資產resourceID以及跨鏈資金數量與接收地址等參數構成的data。2.攻擊者指定傳入的resourceID為跨ETHToken所需要的值,但其調用的是QBridge的deposit函數而非depositETH函數,因此首先繞過了跨鏈資金數量與msg.value的檢查。deposit函數會根據resourceID從映射中取出handler地址進行充值,由于攻擊者傳入的是真實的跨ETHToken所需要的值所以可以順利調用handler合約的deposit函數。3.handler合約的deposit函數中會根據resourceID取出的所要充值的Token是否在白名單內進行檢查,由于攻擊者傳入的resourceID對應ETH,因此映射中取出的所要充值的Token為0地址,即會被認為是充值ETH而通過了白名單檢查。但deposit函數中卻并沒有對所要充值的Token地址再次進行檢查,隨后直接通過safeTransferFrom調用了所要充值的Token的transferFrom函數。4.由于所要充值的Token地址為0地址,而call調用無codesize的EOA地址時其執行結果都會為true且返回值為空,因此通過transferFrom的轉賬操作通過了safeTransferFrom的檢查,最后觸發了Deposit跨鏈充值事件。5.由于傳入的resourceID為跨ETH所需要的值,因此觸發的Deposit事件與真正充值ETH的事件相同,這讓QBridge認為攻擊者進行了ETH跨鏈,因此在BSC鏈上為攻擊者鑄造了大量的qXETHToken。攻擊者利用此qXETH憑證耗盡了Qubit的借貸池。MistTrack分析
MagmaByte將在Immutable zkEVM推出PvP游戲Galaxy Commanders:金色財經報道,游戲初創公司MagmaByte將在Immutable zkEVM推出PvP太空射擊游戲Galaxy Commanders,MagmaByte的成員包括前藝電、NCSoft和Nexon開發人員。Galaxy Commanders將要求玩家使用各種不同的策略領導快節奏的太空戰斗和合作征服星際。Immutable zkEVM是以太坊第2層擴展網絡,專為游戲而構建,可實現更便宜、更快的交易。
Galaxy Commanders的發布日期尚未公布,但根據新聞稿,MagmaByte目前正在籌集由Shima Capital領投的一輪資金。[2023/7/19 11:03:24]
慢霧AML旗下MistTrack反洗錢追蹤系統分析發現,攻擊者地址(0xd01...5c7)首先從Tornado.Cash提幣獲取初始資金,隨后部署了合約,且該攻擊者地址交互的地址是Qubit、PancakeSwap和Tornado.Cash合約地址。目前資金未發生進一步轉移。慢霧AML將持續監控被盜資金的轉移,拉黑攻擊者控制的錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。
Router Protocol將推出L1區塊鏈Router Chain:2月22日消息,區塊鏈基礎設施公司Router Protocol將推出Layer 1區塊鏈Router Chain,旨在解決跨鏈通信問題。該區塊鏈基于Cosmos SDK開發,但仍將支持MetaMask。Router Protocol的聯合創始人Priyeshu Garg表示,DApp可以直接建立在Router Chain上,并相互之間擁有互操作性。(Blockworks)[2023/2/22 12:23:05]
馬斯克推特粉絲數量突破1.258億,每24小時增加10萬粉絲:1月16日消息,推特掌舵者、首席執行官埃隆?馬斯克目前的粉絲數量已經超過1.258億。BigTesla在推文中表示:“馬斯克的粉絲數量已經突破1.258億,每24小時增加10萬粉絲”。[2023/1/16 11:14:21]
總結
本次攻擊的主要原因在于在充值普通Token與nativeToken分開實現的情況下,在對白名單內的Token進行轉賬操作時未對其是否為0地址再次進行檢查,導致本該通過native充值函數進行充值的操作卻能順利走通普通Token充值邏輯。慢霧安全團隊建議在對充值Token進行白名單檢查后仍需對充值的是否為nativeToken進行檢查。參考交易:https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acfhttps://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02原地址
Tags:TOKENTOKTOKEKENSmell Tokenimtoken下載官網Livepeer Tokenimtoken被更改賬戶權限
NFT數據日報是由Odaily星球日報與NFT數據整合平臺NFTGO.io合作的一檔欄目,旨在向NFT愛好者與投資者展示近24小時的NFT市場整體規模、交易活躍度、子領域市占比.
1900/1/1 0:00:00NFT數據日報是由Odaily星球日報與NFT數據整合平臺NFTGO.io合作的一檔欄目,旨在向NFT愛好者與投資者展示近24小時的NFT市場整體規模、交易活躍度、子領域市占比.
1900/1/1 0:00:00根據NFTSCAN瀏覽器的實時數據顯示,截至2022年1月14日,以太坊上累計鑄造了3943萬枚NFT資產,部署了29570個NFT資產合約,鏈上NFT資產相關交易記錄多達6473萬條.
1900/1/1 0:00:00來源:Lisk.com探索NFT領域過程中,我經常遇到的一個詞是“互操作性”。互操作性——異構系統和產品無縫接口的能力,常被認為是NFT如此具有開創性的關鍵原因.
1900/1/1 0:00:002021年對于整個元宇宙生態來說是頗具開創性的一年。隨著Metaverse概念獲得越來越多的主流關注,Metaverse里的土地和資產價格也逐漸接近現實世界的水平.
1900/1/1 0:00:00周一,美國商品期貨交易委員會(CFTC)對去中心化金融公司采取了今年的首次執法,加密預測市場平臺Polymarket因提供基于場外事件的二元期權合約.
1900/1/1 0:00:00