TOK:詳解Qubit項目QBridge被黑始末：不翼而飛的8000萬美元

據慢霧區情報，2022年01月28日，Qubit項目的QBridge遭受攻擊，損失約8000萬美金。慢霧安全團隊進行分析后以簡析的形式分享給大家。

簡要分析

1.攻擊者通過ETH上的QBridge合約進行存款操作，存款時傳入所要跨的目標鏈destinationDomainID、所要跨鏈的資產resourceID以及跨鏈資金數量與接收地址等參數構成的data。

2.攻擊者指定傳入的resourceID為跨ETHToken所需要的值，但其調用的是QBridge的deposit函數而非depositETH函數，因此首先繞過了跨鏈資金數量與msg.value的檢查。deposit函數會根據resourceID從映射中取出handler地址進行充值，由于攻擊者傳入的是真實的跨ETHToken所需要的值所以可以順利調用handler合約的deposit函數。

彭博分析師：SEC或借助托管論點拒絕將GBTC轉換為現貨ETF:金色財經報道，彭博分析師James Seyffart在X平臺（原推特）發文稱，目前還不確定SEC是否會在未來幾周或幾個月內做出新決定，或者要求Grayscale 提交19b-4表格（用于通知監管機構擬議的規則變更）。

Seyffart分析稱：“我們所知道的是，在比特幣期貨ETF存在的情況下，SEC不能使用他們在過去拒絕信中使用的有關欺詐和操縱的論點來拒絕現貨ETF，而是可能會基于之前未曾使用過的理由拒絕將GBTC轉換為ETF，例如圍繞比特幣托管的潛在反對意見，我對這一點不會感到驚訝”。[2023/8/30 13:04:58]

3.handler合約的deposit函數中會根據resourceID取出的所要充值的Token是否在白名單內進行檢查，由于攻擊者傳入的resourceID對應ETH，因此映射中取出的所要充值的Token為0地址，即會被認為是充值ETH而通過了白名單檢查。但deposit函數中卻并沒有對所要充值的Token地址再次進行檢查，隨后直接通過safeTransferFrom調用了所要充值的Token的transferFrom函數。

加密貨幣公司Helio Lending因虛假執業資質承諾被罰良好行為保證金:金色財經報道，總部位于澳大利亞的加密貨幣貸款公司Helio Lending因謊稱擁有當地信貸許可證而被判處一年的非定罪良好行為保證金。8月17日，澳大利亞證券和投資委員會(ASIC)表示，Helio被判處一年良好行為債券，如果違反，必須支付9,600美元（15,000澳元）。對于不太嚴重的違規行為，通常會授予良好行為保證金。非定罪良好行為保證金意味著Helios只有在違反保證金的情況下才會被定罪，并且必須支付9,600美元。ASIC表示，Helio在其網站上發布的2019年8月新聞文章中錯誤地聲稱其擁有澳大利亞信貸許可證。[2023/8/18 18:08:16]

4.由于所要充值的Token地址為0地址，而call調用無codesize的EOA地址時其執行結果都會為true且返回值為空，因此通過transferFrom的轉賬操作通過了safeTransferFrom的檢查，最后觸發了Deposit跨鏈充值事件。

FTX回應UCC：早已提供包含預期時間表的路線圖，將在本周聽證會上通報進展:4月10日消息，FTX債權人@AFTXcreditor發推稱，針對FTX債務人申請延長其提交第11章計劃和征求意見的專屬期限（exclusivity period），FTX無擔保債權人官方委員會（UCC）上周已提交聲明表示“謹慎支持”FTX債務人的這一請求，但保留未來延長期限內尋求終止FTX專屬期的權利（如果重組計劃沒有取得重大進展）。

UCC似乎對債務人缺乏進展和合作越來越不滿，并希望更多地參與重組計劃。UCC要求FTX債務人：在4月12日的法庭聽證會上陳述9項進展；讓其更多地參與進來；利用UCC的經驗（任何UCC成員在加密貨幣和FTX方面的經驗都可能比FTX的新管理層/顧問更多）。

FTX債務人于4月9日提交文件回應UCC，聲稱在UCC提交聲明之前，他們早已向UCC成員解釋其路線圖的預期時間表，包括索賠流程、提交信息報告、提交計劃、征求意見批準和確認等；還向UCC成員介紹了一個正在開發的門戶網站。但UCC在聲明中未提及上述事宜。FTX債務人計劃在4月12日與法院分享這一路線圖，將向法院和公眾通報這些事項的最新情況。[2023/4/10 13:54:23]

5.由于傳入的resourceID為跨ETH所需要的值，因此觸發的Deposit事件與真正充值ETH的事件相同，這讓QBridge認為攻擊者進行了ETH跨鏈，因此在BSC鏈上為攻擊者鑄造了大量的qXETHToken。攻擊者利用此qXETH憑證耗盡了Qubit的借貸池。

MistTrack分析

慢霧AML旗下?MistTrack反洗錢追蹤系統分析發現，攻擊者地址(0xd01...5c7)首先從Tornado.Cash提幣獲取初始資金，隨后部署了合約，且該攻擊者地址交互的地址是Qubit、PancakeSwap和Tornado.Cash合約地址。目前資金未發生進一步轉移。慢霧AML將持續監控被盜資金的轉移，拉黑攻擊者控制的錢包地址，提醒交易所、錢包注意加強地址監控，避免相關惡意資金流入平臺。

總結

本次攻擊的主要原因在于在充值普通Token與nativeToken分開實現的情況下，在對白名單內的Token進行轉賬操作時未對其是否為0地址再次進行檢查，導致本該通過native充值函數進行充值的操作卻能順利走通普通Token充值邏輯。慢霧安全團隊建議在對充值Token進行白名單檢查后仍需對充值的是否為nativeToken進行檢查。

參考交易：

https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acf

https://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02

原文鏈接

Tags：TOKTOKETOKENKENSalo TokenMyth TokenASIX TokenTBCC Token

ADA