買比特幣 買比特幣
Ctrl+D 買比特幣
ads

TRA:合約授權的風險:Transit Swap 被盜約2100萬美元事件分析_TRANS

Author:

Time:1900/1/1 0:00:00

2022年10月2日,據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示,Transit Swap 項目遭受攻擊,被盜約2100萬美元。關于本次事件,成都鏈安安全團隊第一時間進行了分析。

首先在今早發現被盜后,Transit Swap 技術團隊緊急暫停服務,無法進行任何操作,很多用戶也在社交平臺紛紛表示自己錢包的資產被盜。

據悉,本次事件的主角Transit Swap是某加密錢包下的閃兌交易平臺。

OKEx將暫停永續合約、期貨和期權交易:據官方公告,由于系統維護,OKEx將于12月29日14:00至14:30暫停永續合約交易,將于12月29日14:30至15:00暫停期貨和期權交易。[2020/12/29 15:59:02]

首先我們需要知道什么是閃兌?

很多加密錢包出了閃兌功能,之所以叫這個名字主要就是因為不同數字貨幣之間的交易速度很快,因為閃兌不需要像交易所那樣來撮合買方和賣方之間的訂單,閃兌更像是柜臺交易,就像去銀行拿美元兌換人民幣,在匯率已知的情況下,給多少美元,銀行就會根據匯率兌換給你相應數量的人民幣。

閃兌除了兌換交易速度快之外,還有一些其他的功能,這也是很多用戶使用它的原因。

AIB上線瓦特全幣種合約:據官方消息,瓦特全幣種合約HyperFutures社區投票上幣第五期已結束,其中AIB項目經過投票數量+平臺綜合評估,成功突圍入選本次投票上線幣種。

AIB項目將于今日16:00正式上線BTC/USD(AIB)、ETH/USD(AIB)交易對,并已于10:00開通劃轉。上線期間合約新開戶可領取300USDT體驗金福利。

體驗金可以直接在實盤交易,收益可以正常提現轉賬,虧損則由平臺承擔,實現零成本交易。更多活動詳情請查看咨詢官方客服或查看官方公告。[2020/12/10 14:48:16]

下面,我們回到本次事件技術層面來分析。

Gate.io永續合約24小時交易量1.689億美元:據Gate.io官網行情顯示,截止到今日17:00,Gate.io永續合約24H交易量為1.689億美元,其中BTC/USDT永續合約24小時成交量為549,900,194美元,現報111693.45美元;BTC/USD合約24小時成交量為15,655,331美元,現報11697.69美元。[2020/9/2]

BSC鏈上的攻擊交易:

https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189

聲音 | 分析師:CBOE暫停比特幣期貨合約對行業不是壞事:資深公司分析師、CoinDesk產品團隊成員Noelle Acheson發文稱,芝加哥期權交易所暫停比特幣期貨合約對行業的前景來說,既不重要也不是壞事。首先,Cboe這一舉措是自然選擇:芝加哥商品交易所比Cboe規模更大;交易員似乎認為CME的定價方法更不容易被操控。其次,Cboe的成交量較低,暫停期貨合約對交易策略不會產生太大影響。最后,機構投資者缺少參與加密市場的“鑰匙”,他們對加密資產的介入將會是“逐步發生,然后突然發生”。[2019/3/24]

以太坊上的攻擊交易:

https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7

用戶進行swap兌換時,正常流程是先通過Transit Cross Router v3合約選擇路由合約,隨后通過Transit Swap&Cross Approve Proxy合約進行權限驗證后,調用claimTokens函數將用戶兌換的token轉入路由合約中。而Transit Swap 合約實現時,上述三個合約均未對用戶輸入數據進行正確的驗證,導致攻擊者可以構造出任意指定的兌換數據calldata,其中可以將授權過的用戶的代幣轉入攻擊者指定的任意地址之中。

這個合約未對下面的calldata進行驗證,解析后為下圖的input,里面指定了收款人為攻擊者地址。

攻擊者就通過這種方式,共獲利約2100萬美元。隨后將資金歸集到獲利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,

但是項目方依然沒有放棄,隨后Transit Swap 官方發布公告稱,目前已確定黑客 IP、電子郵件地址,以及相關的鏈上地址。Transit Swap 團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。

隨著事件的影響力擴大,攻擊者似乎也知道真實身份難保。也可能是被項目方“感化”,這位攻擊者決定退回盜取的資產。

截止發稿前,目前攻擊者已將BNB鏈上的37,000 BNB 和1500 ETH,以太坊上的3,180 ETH歸還給項目方。2500 BNB被轉移到Tornado.Cash,剩余的12,612 BNB仍在攻擊者地址上,價值約356萬美元。成都鏈安鏈必追-虛擬貨幣案件智能研判平臺正在對被盜資金進行實時追蹤。

從本次事件,我們可以看到,合約授權依然潛藏著諸多風險。

來源:成都鏈安

財經法學

金色早8點

鏈捕手

PANews

Bress

Odaily星球日報

區塊律動BlockBeats

Tags:ANSTRANSNSITRATITANS價格TranscodiumSensible Finance[OLD]CryptoTrains

Gate交易所
PRO:Huobi新東家—百域資本什么來頭?_Wrapped Huobi Token

10月8日,火幣創始人李林在朋友圈表示,已經將旗下股權轉讓與香港百域資本(About Capital ),至此香港百域資本成為第一大股東和是實控人.

1900/1/1 0:00:00
WEB:從社交圖譜看Web3.0在社交領域的探索_CYB

原文作者:Daniel Li亨利·梅因《古代法》里的一句話:“所有進步社會的運動,到此處為止,都是一個‘從身份到契約’的運動”.

1900/1/1 0:00:00
DAO:當Web3輕輕掠過房地產_web3域名值錢嗎

誰能在虛擬世界和現實世界嫁接好第一座橋梁,誰就能獲得通向自由之路。如果把時間軸拉回到一年前,就是2021年8月,誰在朋友圈說一年后中國房地產三十強企業內的大部分民營公司,其債券價格都會跌到個位數.

1900/1/1 0:00:00
DEF:陰霾擴張 Polygon會是繼BSC下一個黑客聚集地嗎?_Phoenix Defi Finance

自“DeFi夏天”以來,到目前為止幾乎一整年的時間,DeFi的整體鎖倉量、日交易量逐步飆升,除去穩健的以太坊生態之外,更多新興公鏈開始展露頭角.

1900/1/1 0:00:00
STU:哪些機構的錢仍在FTX里?_FTX

原文標題:Who Still Has Exposure to FTX?原文編譯:Leo,BlockBeatsBlockBeats 消息,11 月 10 日,Binance 官方發文表示.

1900/1/1 0:00:00
加密貨幣:區塊鏈存儲四大優勢不可不知_Destiny AI

存儲并不是個新詞,隨著互聯網技術的快速發展,企業級存儲、云存儲等已成為人們工作生活的標配。與此同時,伴隨區塊鏈技術的發展與成熟,區塊鏈存儲的優勢和特點開始受到多方關注.

1900/1/1 0:00:00
ads