買比特幣 買比特幣
Ctrl+D 買比特幣
ads

TOKEN:詳解Qubit項目QBridge被黑始末:不翼而飛的8000萬美元_Tec Token

Author:

Time:1900/1/1 0:00:00

據慢霧區情報,2022年01月28日,Qubit項目的QBridge遭受攻擊,損失約8000萬美金。慢霧安全團隊進行分析后以簡析的形式分享給大家。

簡要分析

1.攻擊者通過ETH上的QBridge合約進行存款操作,存款時傳入所要跨的目標鏈destinationDomainID、所要跨鏈的資產resourceID以及跨鏈資金數量與接收地址等參數構成的data。2.攻擊者指定傳入的resourceID為跨ETHToken所需要的值,但其調用的是QBridge的deposit函數而非depositETH函數,因此首先繞過了跨鏈資金數量與msg.value的檢查。deposit函數會根據resourceID從映射中取出handler地址進行充值,由于攻擊者傳入的是真實的跨ETHToken所需要的值所以可以順利調用handler合約的deposit函數。3.handler合約的deposit函數中會根據resourceID取出的所要充值的Token是否在白名單內進行檢查,由于攻擊者傳入的resourceID對應ETH,因此映射中取出的所要充值的Token為0地址,即會被認為是充值ETH而通過了白名單檢查。但deposit函數中卻并沒有對所要充值的Token地址再次進行檢查,隨后直接通過safeTransferFrom調用了所要充值的Token的transferFrom函數。4.由于所要充值的Token地址為0地址,而call調用無codesize的EOA地址時其執行結果都會為true且返回值為空,因此通過transferFrom的轉賬操作通過了safeTransferFrom的檢查,最后觸發了Deposit跨鏈充值事件。5.由于傳入的resourceID為跨ETH所需要的值,因此觸發的Deposit事件與真正充值ETH的事件相同,這讓QBridge認為攻擊者進行了ETH跨鏈,因此在BSC鏈上為攻擊者鑄造了大量的qXETHToken。攻擊者利用此qXETH憑證耗盡了Qubit的借貸池。MistTrack分析

數據:OpenSea股份在創企股票二級市場平臺Birel上以51%的折扣交易:金色財經報道,與許多初創公司一樣,私人初創公司OpenSea不允許員工或投資者在未經董事會批準的情況下出售其股份。然而,在創業公司投資領域的一個不起眼的角落里,OpenSea的股票可以以很高的折扣出售,許多加密領域藍籌公司的股份也是如此。

專注于Pre-IPO公司的數據提供商ApeVue創始人兼首席執行官Nick Fusco解釋稱:“即使私人公司限制其股份交易,投資者仍有可能通過交易SPV(特殊目的機構)的所有者權益來買賣該公司股份的間接權益,而SPV又擁有該私人公司的股票。”

截至3月5日,OpenSea的股票在創業公司股票二級市場平臺Birel上的交易價格有51%的折扣。一位不愿透露姓名的人士稱,二級市場上95%的OpenSea股票都采用了SPV的形式,每批股票都附屬于自己的實體。但他們認為這會破壞流動性,阻礙交易。

另一位投資者、金融科技公司的創始人兼天使投資人表示,投資者更愿意直接購買股票,因為SPV需要額外的費用,而且控制權更少。[2023/4/8 13:52:06]

慢霧AML旗下MistTrack反洗錢追蹤系統分析發現,攻擊者地址(0xd01...5c7)首先從Tornado.Cash提幣獲取初始資金,隨后部署了合約,且該攻擊者地址交互的地址是Qubit、PancakeSwap和Tornado.Cash合約地址。目前資金未發生進一步轉移。慢霧AML將持續監控被盜資金的轉移,拉黑攻擊者控制的錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。

Aave 社區發起“推進 V2 在以太坊上遷移至 V3” 的溫度檢查治理討論:4月5日消息,Aave 社區發起關于“推進 V2 在以太坊上遷移至 V3” 的溫度檢查治理討論。討論中提到,遷移的主要目標包括:定義 V3 的資產清單,以及相關的風險參數;在 V3 上進行必要的列表和風險設置以允許流動性遷移;衡量影響并提出新步驟。下一步,基于對此提案的社區討論,社區將按以下方式進行實施:建議以隔離模式在 V3 上線新資產;在 V3 上線穩定幣的提案;建議更新 V3 上當前上線資產的風險參數;更新 V2 的準備金率和利率曲線的提案。[2023/4/5 13:46:05]

CertiK:加密項目DMC發生Rug Pull,代幣價格下跌94%:6月25日消息,CertiK 監測顯示,加密項目 DMC 發生 Rug Pull,代幣價格下跌 94%,部署者在 17 天前鑄造了代幣,將它們送到另一個錢包,然后出售。[2022/6/25 1:31:13]

總結

本次攻擊的主要原因在于在充值普通Token與nativeToken分開實現的情況下,在對白名單內的Token進行轉賬操作時未對其是否為0地址再次進行檢查,導致本該通過native充值函數進行充值的操作卻能順利走通普通Token充值邏輯。慢霧安全團隊建議在對充值Token進行白名單檢查后仍需對充值的是否為nativeToken進行檢查。參考交易:https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acfhttps://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02原地址

Tags:TOKEKENTOKENTOKBloody TokenPoodl TokenEndpoint Cex Fan TokenTec Token

萊特幣最新價格
AXE:全面解析跨鏈終局之戰:多鏈博弈,兼容并存_vela幣活動

前序: 在討論本文的話題之前,我們需要聲明本文只代表作者個人的意見和想法。且分析時切入點為產品和技術設計并無資本運作,市場營銷等其他方向的考量.

1900/1/1 0:00:00
THE:探索「漸進式去中心化」:三階段分析如何創建一個成功的DAO_國內區塊鏈公司前十排名

通往未來的DAO 坦率地說,DAO是組織的未來。DAO的元素已經存在了很久,但這些元素終于到了結合在一起,并形成大于整體的東西的時候了.

1900/1/1 0:00:00
BTC:從鏈上數據和衍生品角度分析,熊市到來了嗎?_超級比特幣還有價值嗎

本文梳理自21stParadigm聯創DylanLeClair在個人社交媒體平臺上的觀點,律動BlockBeats對其整理翻譯如下:比特幣最近跌到了33,000美元附近.

1900/1/1 0:00:00
ROR:Web3.0學習筆記第四期:內容創作工具指南(一)_WEB3ALLBI

拓展閱讀:專題|進入Web3.0的新視界雖然我們對Web3.0的畫像并不清晰,但在擁抱Web3.0的浪潮中,「XX-to-earn」成為各大去中心化平臺「培養」第一批種子用戶的推廣方式.

1900/1/1 0:00:00
EFI:DeFi3.0板塊升溫?一文說透其概念、特點與生態情況_ING

在市場疲軟的情況下,出道不久的DeFi3.0概念的代幣卻在近半月迎來暴漲,其中REFI和ECC近半個月漲幅分別約為968%和744%,帶動整個DeFi3.0板塊升溫.

1900/1/1 0:00:00
POLY:CFTC 2022年對DeFi的首次執法:罰款并關閉非法市場_POLVEN

周一,美國商品期貨交易委員會(CFTC)對去中心化金融公司采取了今年的首次執法,加密預測市場平臺Polymarket因提供基于場外事件的二元期權合約.

1900/1/1 0:00:00
ads