TOK:詳解Qubit項目QBridge被黑始末：不翼而飛的8000萬美元_Lukiu Token

據慢霧區情報，2022年01月28日，Qubit項目的QBridge遭受攻擊，損失約8000萬美金。慢霧安全團隊進行分析后以簡析的形式分享給大家。

簡要分析

1.攻擊者通過ETH上的QBridge合約進行存款操作，存款時傳入所要跨的目標鏈destinationDomainID、所要跨鏈的資產resourceID以及跨鏈資金數量與接收地址等參數構成的data。

2.攻擊者指定傳入的resourceID為跨ETHToken所需要的值，但其調用的是QBridge的deposit函數而非depositETH函數，因此首先繞過了跨鏈資金數量與msg.value的檢查。deposit函數會根據resourceID從映射中取出handler地址進行充值，由于攻擊者傳入的是真實的跨ETHToken所需要的值所以可以順利調用handler合約的deposit函數。

Cardano生態穩定幣Djed已吸2700萬ADA作為儲備抵押:金色財經報道，數據顯示，基于Cardano的超額抵押穩定幣Djed（DJED）在推出不到一天的時間里，已經吸引了超過2700萬個ADA作為儲備支持。在撰寫本報告時，Djed的儲備率接近600%，按照目前的價格，發行Djed所鎖定的ADA價值超過1000萬美元。

上周，Cardano DeFi交易所MuesliSwap表示，它的目標是為Djed用戶提供10%至25%的年化收益率。[2023/2/1 11:41:00]

3.handler合約的deposit函數中會根據resourceID取出的所要充值的Token是否在白名單內進行檢查，由于攻擊者傳入的resourceID對應ETH，因此映射中取出的所要充值的Token為0地址，即會被認為是充值ETH而通過了白名單檢查。但deposit函數中卻并沒有對所要充值的Token地址再次進行檢查，隨后直接通過safeTransferFrom調用了所要充值的Token的transferFrom函數。

韓國加密交易所Gopax需向其理財產品GOFi客戶償還約4700萬美元資金:1月6日消息，韓國加密交易所Gopax需要向其加密理財產品GOFi客戶償還高達600億韓元（約合4700萬美元）的資金，包括定期存款固定產品、沒有定期存款期限的自由形式產品、存款服務利息以及因暫停提款而產生的延遲利息。

2022年11月份，Gopax宣布因GOFi受合作伙伴Genesis暫停贖回的影響，GOFi延遲還本付息。2023年1月初，據Decenter報道，幣安已于近日完成對韓國交易所Gopax的收購盡職調查，正在進行確認程序等最后步驟。不過朝鮮日報稱，幣安一位職員表示，關于收購Gopax的事情還沒有任何決定。[2023/1/6 10:58:36]

4.由于所要充值的Token地址為0地址，而call調用無codesize的EOA地址時其執行結果都會為true且返回值為空，因此通過transferFrom的轉賬操作通過了safeTransferFrom的檢查，最后觸發了Deposit跨鏈充值事件。

奧斯卡獎得主Anthony Hopkins推出“Eternal Collection”系列NFT:金色財經消息，奧斯卡最佳男主角獎得主Anthony Hopkins與Web3創意工作室初創公司Orange Comet合作，創作并推出了他的第一個NFT系列“Eternal Collection”。

Hopkins稱，元宇宙“提供了一個令人難以置信的機會，以一種完全不同的方式與觀眾建立聯系。我可能是NFT社區和社交媒體上最年長的人，這證明在任何年齡一切皆有可能。”

據悉，Eternal Collection系列NFT包含Hopkins的電影生涯中描塑造的10種不同角色原型，包括包括《沉默的羔羊》中的Hannibal Lecter和和漫威《雷神》系列中的Odin。（Variety）[2022/8/20 12:37:38]

5.由于傳入的resourceID為跨ETH所需要的值，因此觸發的Deposit事件與真正充值ETH的事件相同，這讓QBridge認為攻擊者進行了ETH跨鏈，因此在BSC鏈上為攻擊者鑄造了大量的qXETHToken。攻擊者利用此qXETH憑證耗盡了Qubit的借貸池。

MistTrack分析

慢霧AML旗下?MistTrack反洗錢追蹤系統分析發現，攻擊者地址(0xd01...5c7)首先從Tornado.Cash提幣獲取初始資金，隨后部署了合約，且該攻擊者地址交互的地址是Qubit、PancakeSwap和Tornado.Cash合約地址。目前資金未發生進一步轉移。慢霧AML將持續監控被盜資金的轉移，拉黑攻擊者控制的錢包地址，提醒交易所、錢包注意加強地址監控，避免相關惡意資金流入平臺。

總結

本次攻擊的主要原因在于在充值普通Token與nativeToken分開實現的情況下，在對白名單內的Token進行轉賬操作時未對其是否為0地址再次進行檢查，導致本該通過native充值函數進行充值的操作卻能順利走通普通Token充值邏輯。慢霧安全團隊建議在對充值Token進行白名單檢查后仍需對充值的是否為nativeToken進行檢查。

參考交易：

https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acf

https://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02

原文鏈接

Tags：TOKENTOKETOKKENcgtokenLukiu TokenBXX TokenGAINZ TOKEN

以太坊價格今日行情