比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > NEAR > Info

HOR:跨鏈交易協議THORChain被攻擊事件分析

Author:

Time:1900/1/1 0:00:00

北京時間7月23日,去中心化跨鏈交易協議?THORChain(RUNE)再次遭遇攻擊,包括XRUNE在內的多種ERC20代幣受到影響,涉及損失約800萬美元。THORChain已是一個月內第三次受到攻擊,此前在7月16日遭受攻擊,損失約4000ETH;在6月29日遭受惡意攻擊,損失14萬美元。

SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。

THORSwap已恢復比特幣等4個網絡跨鏈交易功能:10月12日消息,此前遭受黑客攻擊而關閉的跨鏈DEX THORSwap目前已經恢復比特幣、比特幣現金(BCH)、萊特幣(LTC)和幣安智能鏈網絡的交易功能,該團隊目前正在恢復對以太坊的支持。THORSwap正在努力集成對Terra穩定幣網絡和Cosmos去中心化金融中心Gaia的支持。(Cointelegraph)[2021/10/12 20:23:03]

一、事件分析

攻擊交易:https://etherscan.io/tx/0xce958939ba23771d0a0b80532c463b4cbbb175f4d14c08d9d27dd251f68a5da1

Clover Finance發布跨鏈交易瀏覽器:波卡智能合約平臺Clover Finance發推宣布跨鏈交易瀏覽器現已上線,可提供跨鏈交易的總體摘要,如總計數、交易量、活躍地址和跨鏈費用,可顯示跨鏈交易的銷毀信息,例如交易哈希、區塊號和時間戳,可顯示跨鏈交易的索賠信息,可顯示跨鏈過程中每個步驟的狀態鏈式交易(待定/成功/失敗)。[2021/7/15 0:54:14]

圖1攻擊者攻擊THORChainRouter獲取XRUNE代幣

跨鏈交易平臺Multichain.xyz已添加第一批新代幣:YFI創始人Andre Cronje發推稱,跨鏈交易平臺Multichain.xyz已經更新,添加了第一批新代幣,可以在Tokens選項卡上確認狀態。針對ETH- BSC- FTM-FSN-HT的轉移已啟用。v3尚未部署跨鏈跨資產兌換。用戶可以直接從Tokens選項卡填寫表單申請。[2021/3/6 18:21:22]

攻擊者調用THORChainRouter合約的transferOut函數向攻擊者轉了一筆數量為amount的代幣,代幣的類型由asset的類型來確定,轉賬的sender為THORChainRouter的合約地址。

圖2?THORChainRouter合約的TransferOut函數

圖3?通過TransferOut函數牟利Sushi幣

攻擊者之所以可以實現這樣的攻擊,是因為THORChainRouter合約的TransferOut函數漏洞導致--使用asset.call(abi.encodeWithSignature("transfer(address,uint256)",to,amount))語句進行轉賬;

圖4?YFI.sol中的transfer

圖5?FiatToken.sol中的transfer

圖6?XRUNE.sol中的transfer?

在使用call函數時,msg.sender的值為THORChainRouter地址,執行環境為被調用者的運行環境,因此會調用asset代幣合約中的transfer函數,向接收者轉出代幣。而此次攻擊者攻擊THORChainRouter合約牟利的六種代幣合約中,實現轉賬的函數均為"transfer(address,uint256)"這種形式,這也使得攻擊者有可乘之機。

Tags:HORTHORCHAOUTCHORSE幣PlethoriCloudChatOutter Finance

NEAR
SLA:科普丨波卡節點的Slash機制是什么,如何減少懲罰的發生?

“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.

1900/1/1 0:00:00
以太坊:模塊化的區塊鏈時代,如何解決單一型區塊鏈的三難困境?

來源|?polynya 原標題:《展望“模塊化”的區塊鏈樂高世界》縱觀區塊鏈行業最初的十年,只存在單一型區塊鏈.

1900/1/1 0:00:00
比特幣:墨西哥零售巨頭Grupo Elektra將增加比特幣閃電支付

據U.Today9月6日消息,墨西哥零售和銀行公司GrupoElektra將支持比特幣閃電網絡.

1900/1/1 0:00:00
GENE:嘉楠科技宣布回購2000萬美元的已發行美國存托股

巴比特訊,9月20日,嘉楠科技宣布,其董事會已授權股份回購計劃,根據該計劃,公司可以回購價值高達2000萬美元的已發行(i)美國存托股(“ADS”),每股代表15股A類普通股.

1900/1/1 0:00:00
ATM:加利福尼亞被評為美國加密貨幣就緒度最高的州

據Techyno9月20日消息,根據評論網站CryptoHead的最新行業研究,由于加密貨幣ATM的激增以及加州人口對數字資產的興趣日益濃厚,加利福尼亞已成為美國加密貨幣就緒度最高的州.

1900/1/1 0:00:00
ITA:NFT游戲Knight War完成200萬美元A輪融資,Momentum 6等參投

巴比特訊,9月25日,NFT游戲KnightWar完成200萬美元A輪融資,Momentum6、x21Digital、AU21、VBCVentures、AndromedaResearch、One.

1900/1/1 0:00:00
ads