2022年10月2日,據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示,TransitSwap項目遭受攻擊,被盜約2100萬美元。關于本次事件,成都鏈安安全團隊第一時間進行了分析。
首先在今早發現被盜后,TransitSwap技術團隊緊急暫停服務,無法進行任何操作,很多用戶也在社交平臺紛紛表示自己錢包的資產被盜。
據悉,本次事件的主角TransitSwap是某加密錢包下的閃兌交易平臺。
當前BTC全網合約持倉總量為23.23億美元 24小時減少6700萬美元:據合約帝持倉報告顯示,當前全網合約持倉總量為23.23億美元,24小時減少6700萬美元。其中,Huobi合約5.26億美元,24小時減少4.55%;OKEx合約5.65億美元,24小時減少8.75%;BitMEX合約3.93億美元,24小時減少2.75%;Binance合約4.38億美元,24小時增加5.61%;Bybit合約4億美元,24小時增加1.52%。[2020/10/16]
首先我們需要知道什么是閃兌?
很多加密錢包出了閃兌功能,之所以叫這個名字主要就是因為不同數字貨幣之間的交易速度很快,因為閃兌不需要像交易所那樣來撮合買方和賣方之間的訂單,閃兌更像是柜臺交易,就像去銀行拿美元兌換人民幣,在匯率已知的情況下,給多少美元,銀行就會根據匯率兌換給你相應數量的人民幣。
CME比特幣期貨9月合約收漲1.76%:金色財經報道,成交量最高的CME比特幣期貨2020年9月合約今日收漲205美元,收報11835美元,漲幅達1.76%。2020年10月、11月和12月合約分別收報11940美元、12025美元和12090美元。[2020/9/1]
閃兌除了兌換交易速度快之外,還有一些其他的功能,這也是很多用戶使用它的原因。
下面,我們回到本次事件技術層面來分析。
BSC鏈上的攻擊交易:
https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189
鏈上ChainUP正式推出混合合約產品:據官方消息,7月27日,鏈上ChainUP正式推出混合合約產品,系全球首家推出該產品的的技術服務商。混合合約是鏈上ChainUP獨創的指數型合約,能以任意幣種作為保證金,根據BTC 、ETH等主流幣指數進行合約交易的產品。交易所可通過混合合約增加平臺通證的使用場景,提升流通率,賦予平臺通證更多的價值。
BBKX作為鏈上云首家混合合約產品的使用客戶,自7月16日上線至今,已新增獨立交易用戶1000多名,累計交易量已突破百億。
截止目前,鏈上ChainUP已為全球500多家客戶提供了區塊鏈技術服務,其中交易所客戶300多家,覆蓋30多個國家和地區,累計觸達6000多萬全球用戶。[2020/7/27]
以太坊上的攻擊交易:
聲音 | 智能合約先驅Nick Szabo談門羅幣:我認為它比BTC有著更好的隱私性:今日,智能合約先驅尼克·薩博(Nick Szabo)在推特上在被問如何看待門羅幣時回答表示:我認為它比BTC有著更好的隱私性,我鼓勵人們使用它。[2019/7/21]
https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7
用戶進行swap兌換時,正常流程是先通過TransitCrossRouterv3合約選擇路由合約,隨后通過TransitSwap&CrossApproveProxy合約進行權限驗證后,調用claimTokens函數將用戶兌換的token轉入路由合約中。而TransitSwap合約實現時,上述三個合約均未對用戶輸入數據進行正確的驗證,導致攻擊者可以構造出任意指定的兌換數據calldata,其中可以將授權過的用戶的代幣轉入攻擊者指定的任意地址之中。
這個合約未對下面的calldata進行驗證,解析后為下圖的input,里面指定了收款人為攻擊者地址。
攻擊者就通過這種方式,共獲利約2100萬美元。隨后將資金歸集到獲利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,
但是項目方依然沒有放棄,隨后TransitSwap官方發布公告稱,目前已確定黑客IP、電子郵件地址,以及相關的鏈上地址。TransitSwap團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。
隨著事件的影響力擴大,攻擊者似乎也知道真實身份難保。也可能是被項目方“感化”,這位攻擊者決定退回盜取的資產。
截止發稿前,目前攻擊者已將BNB鏈上的37,000BNB和1500ETH,以太坊上的3,180ETH歸還給項目方。2500BNB被轉移到Tornado.Cash,剩余的12,612BNB仍在攻擊者地址上,價值約356萬美元。成都鏈安鏈必追-虛擬貨幣案件智能研判平臺正在對被盜資金進行實時追蹤。
從本次事件,我們可以看到,合約授權依然潛藏著諸多風險。
來源:成都鏈安
文:徐賜豪 元宇宙社交似乎成為各大公司重點卡位的賽道,但是整體而言,目前還未有現象級元宇宙社交產品的出現。今日,映宇宙推出海外元宇宙社交產品ThePlace.
1900/1/1 0:00:00頭條 ▌FacebookPay正式更名為MetaPay金色財經報道,Meta周三宣布,FacebookPay正式更名為MetaPay,該公司指出,對MetaPay的更改只是品牌名稱的更改.
1900/1/1 0:00:00文/KailiWang,斯坦福大學區塊鏈交易的不可篡改性是把雙刃劍。BAYC網絡釣魚、PolyNetwork攻擊、Harmony橋、Ronin被盜,僅在2021年,就有140億美元的加密貨幣被盜.
1900/1/1 0:00:002020年被稱為“人類社會虛擬化的臨界點”,無數青年人在虛擬世界中進行開放式探索,通過創造性的游玩尋找與現實世界的連通.
1900/1/1 0:00:00銀行、證券、保險是支撐傳統金融行業運作的三駕馬車。銀行業目前估值8.4萬億美金,證券業目前估值100萬億美金,保險業估值5.5萬億美金.
1900/1/1 0:00:00萬事達卡于周二首次推出一款新的軟件,幫助銀行識別和切斷來自易受欺詐的加密貨幣交易所的交易,該系統名為CryptoSecure.
1900/1/1 0:00:00