買以太坊 買以太坊
Ctrl+D 買以太坊
ads

TRANS:合約授權的風險:Transit Swap 被盜約2100萬美元事件分析_Translatix

Author:

Time:1900/1/1 0:00:00

2022年10月2日,據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示,TransitSwap項目遭受攻擊,被盜約2100萬美元。關于本次事件,成都鏈安安全團隊第一時間進行了分析。

首先在今早發現被盜后,TransitSwap技術團隊緊急暫停服務,無法進行任何操作,很多用戶也在社交平臺紛紛表示自己錢包的資產被盜。

據悉,本次事件的主角TransitSwap是某加密錢包下的閃兌交易平臺。

LoomNetwork已完成合約置換及升級:3月17日消息,二層網絡開發平臺LoomNetwork(LOOM)發推稱,Basechain上已完成合約置換及升級,并且已經重新啟用LOOM代幣的存款和取款功能。另外,充值舊智能合約的LOOM將在提現時被充值新智能合約的LOOM取代。[2021/3/17 18:53:03]

首先我們需要知道什么是閃兌?

很多加密錢包出了閃兌功能,之所以叫這個名字主要就是因為不同數字貨幣之間的交易速度很快,因為閃兌不需要像交易所那樣來撮合買方和賣方之間的訂單,閃兌更像是柜臺交易,就像去銀行拿美元兌換人民幣,在匯率已知的情況下,給多少美元,銀行就會根據匯率兌換給你相應數量的人民幣。

當前BTC全網合約持倉總量為28.7億美元 24小時增加3900萬美元:據合約帝持倉報告顯示,當前全網合約持倉總量為28.7億美元,24小時增加3900萬美元。其中,Huobi合約7.67億美元,24小時增加1.40%;OKEx合約9.24億美元,24小時增加0.68%;BitMEX合約7.34億美元,24小時增加3.23%;Binance合約4.43億美元,24小時增加1.84%。[2020/7/31]

閃兌除了兌換交易速度快之外,還有一些其他的功能,這也是很多用戶使用它的原因。

下面,我們回到本次事件技術層面來分析。

瓦特合約《組合互換合約首發Live秀》直播圓滿結束:據官方消息,2020年7月20日20:15,一直播WBF官方直播間《瓦特組合互換合約—合約新玩法首發Live秀》在37.4萬人次觀看的關注度中圓滿結束。在一小時的直播里,WBF交易所合約事業部CEO EthanCheng圍繞“組合互換合約”的核心優勢與創新玩法為用戶解惑。

“組合互換合約”由WBF交易所旗下“瓦特合約”自主研發,以加權平均BNB與HT價格“和”或者“差”為標的價格,減少持有多種標的前提下可以實現對單一標的的盈利、套利,一次性滿足投資者的多元化投資需求。投資者選擇(BNB+HT)/USDT正向組合互換合約,相當于一次性持有兩種幣,多手準備、分散風險;選擇(BNB-HT)/USDT負向組合互換合約,則可一鍵構建價差組合,在一定的價差空間內套利。

瓦特合約系出名門,秉持“不作惡”的原則,力求為全球用戶及機構用戶提供專業、安全、合規的合約交易服務。[2020/7/20]

BSC鏈上的攻擊交易:

58COIN交割合約24H行情9:00播報:截至9:00,據58COIN交割合約行情:

BTC合約現報價9265.15美元,較現貨貼水18.68美元,24h漲跌幅0.13%。成交量17989.19萬手,成交額329565.51萬美元,當前持倉總量182.95萬手,較上一交易日變化-11.82萬手。

EOS合約現報價2.49美元,較現貨貼水0.0053美元,24h漲跌幅-0.28%。成交量73.21萬手,成交額362.94萬美元,當前持倉總量387.55萬手,較上一交易日變化-8.24萬手。

ETH合約現報價232.54美元,較現貨貼水0.48美元,24h漲跌幅-0.50%。成交量261.09萬手,成交額3026.66萬美元,當前持倉總量87.31萬手,較上一交易日變化12.68萬手。[2020/6/26]

https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189

以太坊上的攻擊交易:

https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7

用戶進行swap兌換時,正常流程是先通過TransitCrossRouterv3合約選擇路由合約,隨后通過TransitSwap&CrossApproveProxy合約進行權限驗證后,調用claimTokens函數將用戶兌換的token轉入路由合約中。而TransitSwap合約實現時,上述三個合約均未對用戶輸入數據進行正確的驗證,導致攻擊者可以構造出任意指定的兌換數據calldata,其中可以將授權過的用戶的代幣轉入攻擊者指定的任意地址之中。

這個合約未對下面的calldata進行驗證,解析后為下圖的input,里面指定了收款人為攻擊者地址。

攻擊者就通過這種方式,共獲利約2100萬美元。隨后將資金歸集到獲利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,

但是項目方依然沒有放棄,隨后TransitSwap官方發布公告稱,目前已確定黑客IP、電子郵件地址,以及相關的鏈上地址。TransitSwap團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。

隨著事件的影響力擴大,攻擊者似乎也知道真實身份難保。也可能是被項目方“感化”,這位攻擊者決定退回盜取的資產。

截止發稿前,目前攻擊者已將BNB鏈上的37,000BNB和1500ETH,以太坊上的3,180ETH歸還給項目方。2500BNB被轉移到Tornado.Cash,剩余的12,612BNB仍在攻擊者地址上,價值約356萬美元。成都鏈安鏈必追-虛擬貨幣案件智能研判平臺正在對被盜資金進行實時追蹤。

從本次事件,我們可以看到,合約授權依然潛藏著諸多風險。

來源:成都鏈安

Tags:RANTRANSANSTRAFRANK幣TranslatixSANSHU價格Y5 Trader

幣安app官方下載最新版
DAO:Bankless:如何追蹤一個DAO協議的財務狀況_MAKE

加密寒冬中,協議DAO需具備良好的財務狀況以抵御各類風險。市場已陷深熊,許多DAO及其貢獻者開始懷疑他們能否度過這漫長的加密寒冬。為了了解DAO的健康狀況,本文提供了一個基本框架.

1900/1/1 0:00:00
元宇宙:90后董事長以自己為原型辦“元宇宙婚禮”_LOV

接替父親職位5個月后,中青寶90后董事長辦了一場“元宇宙婚禮”,還是以自己的婚禮為原型。10月8日,上市公司中青寶發布了一款名為“MetaLove元囍”的產品,稱其是“國內首個線上線下虛實夢幻聯.

1900/1/1 0:00:00
CFT:美證監會主席:多數加密代幣是證券 法律有明確規定_PLE

FX168財經報社(香港)訊美國證監會主席根斯勒重申,多數加密代幣都是證券,并強調“法律對此有明確規定”.

1900/1/1 0:00:00
WEB:為什么開發者關系對 Web3 的成功至關重要?_ALFweb3Project

來源:Chainlink之前,我們研究了早期初創公司如何建立開發者社區和跟蹤產品與市場的契合度。如果沒有有效的開發者關系團隊,這些舉措不太可能成功.

1900/1/1 0:00:00
比特幣:金色早報 | 伊朗比特幣倡導者Ziya Sadr被伊朗安全部隊逮捕_加密貨幣騙局騙女人套路

頭條 ▌伊朗比特幣倡導者ZiyaSadr被伊朗安全部隊逮捕金色財經報道,據多個消息來源稱,伊朗的比特幣倡導者ZiyaSadr上個月被伊朗安全部隊逮捕.

1900/1/1 0:00:00
比特幣價格:熊市之下 比特幣和美股的相關性究竟如何?_MetFX Watch To Earn

本文來自caia,原文作者:VettaFiResearch副主任RoxannaIslamOdaily星球日報譯者|Moni 在當前宏觀市場動蕩的情況下,“相關性”是一個需要認真考慮的因素.

1900/1/1 0:00:00
ads