買以太坊 買以太坊
Ctrl+D 買以太坊
ads

RAN:合約授權的風險:Transit Swap 被盜約2100萬美元事件分析_EquiTrader

Author:

Time:1900/1/1 0:00:00

2022年10月2日,據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示,Transit Swap 項目遭受攻擊,被盜約2100萬美元。關于本次事件,成都鏈安安全團隊第一時間進行了分析。

首先在今早發現被盜后,Transit Swap 技術團隊緊急暫停服務,無法進行任何操作,很多用戶也在社交平臺紛紛表示自己錢包的資產被盜。

據悉,本次事件的主角Transit Swap是某加密錢包下的閃兌交易平臺。

上汽通用五菱區塊鏈智能合約平臺上線:10月25日消息,上汽通用五菱區塊鏈智能合約平臺正式上線。區塊鏈智能合約平臺可應用于物料收貨、退貨、對賬、差異調整業務場景,實現電子簽單及單據電子化管理。未來區塊鏈智能合約平臺還將對接業務執行系統,實現交易流程便捷化,助力公司數字化轉型。[2021/10/25 20:55:37]

首先我們需要知道什么是閃兌?

很多加密錢包出了閃兌功能,之所以叫這個名字主要就是因為不同數字貨幣之間的交易速度很快,因為閃兌不需要像交易所那樣來撮合買方和賣方之間的訂單,閃兌更像是柜臺交易,就像去銀行拿美元兌換人民幣,在匯率已知的情況下,給多少美元,銀行就會根據匯率兌換給你相應數量的人民幣。

Gate.io完成COVER代幣新合約更換并恢復充提服務:據官方公告,Gate.io已完成COVER代幣新合約部署更換,并且通過鏈上新合約完成新代幣Claim贖回操作。Gate.io已經為用戶按照1: 1 分發新的COVER代幣,平臺將承擔敞口損失。老的COVER代幣命名為 COVER_OLD,用戶可以隨時提現。新的COVER代幣將保持COVER交易符號,并保持當前交易市場,目前已經開放充值提現服務。[2021/1/6 16:31:55]

閃兌除了兌換交易速度快之外,還有一些其他的功能,這也是很多用戶使用它的原因。

下面,我們回到本次事件技術層面來分析。

最近30分鐘合約市場爆倉1100萬美元 BTC爆倉457萬美元:據合約帝行情統計報告顯示:最近30分鐘合約市場全網總計爆倉1100萬美元,其中BTC爆倉457萬美元,ETH爆倉173萬美元,XRP爆倉116萬美元。[2020/12/9 14:41:36]

BSC鏈上的攻擊交易:

https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189

以太坊上的攻擊交易:

https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7

24小時合約市場爆倉超1.5億美元 BTC合約爆倉6804萬美元:據合約帝行情統計報告顯示:過去24小時合約市場全網總計爆倉1.5億美元,爆倉人數6869人。其中,Huobi爆倉3212萬美元,OKEx爆倉3788萬美元,BitMEX爆倉5391萬美元,Binance爆倉2625萬美元。爆倉金額前三的幣種是BTC6804萬美元,ETH7576萬美元,EOS133萬美元。[2020/7/23]

用戶進行swap兌換時,正常流程是先通過Transit Cross Router v3合約選擇路由合約,隨后通過Transit Swap&Cross Approve Proxy合約進行權限驗證后,調用claimTokens函數將用戶兌換的token轉入路由合約中。而Transit Swap 合約實現時,上述三個合約均未對用戶輸入數據進行正確的驗證,導致攻擊者可以構造出任意指定的兌換數據calldata,其中可以將授權過的用戶的代幣轉入攻擊者指定的任意地址之中。

這個合約未對下面的calldata進行驗證,解析后為下圖的input,里面指定了收款人為攻擊者地址。

攻擊者就通過這種方式,共獲利約2100萬美元。隨后將資金歸集到獲利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,

但是項目方依然沒有放棄,隨后Transit Swap 官方發布公告稱,目前已確定黑客 IP、電子郵件地址,以及相關的鏈上地址。Transit Swap 團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。

隨著事件的影響力擴大,攻擊者似乎也知道真實身份難保。也可能是被項目方“感化”,這位攻擊者決定退回盜取的資產。

截止發稿前,目前攻擊者已將BNB鏈上的37,000 BNB 和1500 ETH,以太坊上的3,180 ETH歸還給項目方。2500 BNB被轉移到Tornado.Cash,剩余的12,612 BNB仍在攻擊者地址上,價值約356萬美元。成都鏈安鏈必追-虛擬貨幣案件智能研判平臺正在對被盜資金進行實時追蹤。

從本次事件,我們可以看到,合約授權依然潛藏著諸多風險。

來源:成都鏈安

財經法學

金色早8點

鏈捕手

PANews

Bress

Odaily星球日報

區塊律動BlockBeats

Tags:SWAPNSIRANTRAInme SwapL-Dimensionguaranteed-ethurance-token-extraEquiTrader

酷幣交易所
okex:金色圖覽 | NFT行業周報(10.9 - 10.15)_okex官方網站網址

【1002 - 1008】周報概要:1、上周NFT總交易額:180,891,639(美元)2、上周NFT總交易筆數:770.

1900/1/1 0:00:00
CRYPTO:a16z 合伙人:最成功的應用是被包裝的游戲_web3幣價格

原文作者:jonlai,a16z合伙人 編譯:Claudia 在區塊鏈或者 Web3 的敘事中,最常見的一個思路是,用“Token”激勵行為,因此很多創業者的常見敘事是.

1900/1/1 0:00:00
區塊鏈:區塊鏈和互操作性:全球化 3.0_POL

來源:老雅痞 在本文中,我們將討論為什么需要互操作性以及如何評估互操作性,仔細研究現有的和即將推出的解決方案,總結我們對真正可互操作的未來的看法.

1900/1/1 0:00:00
加密貨幣:晚間必讀 | 加密“群英像”和央行重啟印鈔之后_泰達幣usdt查詢

金色財經編輯部每晚為讀者精挑了當日最值得精讀的5篇文章,希望您每一天都能獲得新的知識財富。Bankless創始人將構成加密行業的模型簡化為了一組四個同心圓.

1900/1/1 0:00:00
CAS:V神:另一個狀態友好的界地址方案_ASH

來源 | ethresear.ch作者 | Vitalik Buterin譯者按:本文需要讀者對狀態管理和 state expiry 機制作一定了解.

1900/1/1 0:00:00
WEB3:當Web3輕輕掠過房地產_NFT

誰能在虛擬世界和現實世界嫁接好第一座橋梁,誰就能獲得通向自由之路。如果把時間軸拉回到一年前,就是2021年8月,誰在朋友圈說一年后中國房地產三十強企業內的大部分民營公司,其債券價格都會跌到個位數.

1900/1/1 0:00:00
ads