買比特幣 買比特幣
Ctrl+D 買比特幣
ads

SWAP:合約授權的風險:Transit Swap 被盜約2100萬美元事件分析_Stratis

Author:

Time:1900/1/1 0:00:00

2022年10月2日,據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示,TransitSwap項目遭受攻擊,被盜約2100萬美元。關于本次事件,成都鏈安安全團隊第一時間進行了分析。

首先在今早發現被盜后,TransitSwap技術團隊緊急暫停服務,無法進行任何操作,很多用戶也在社交平臺紛紛表示自己錢包的資產被盜。

據悉,本次事件的主角TransitSwap是某加密錢包下的閃兌交易平臺。

24H成交10.8億USDT BTC千倍合約做空人數占優:AOFEX交易大數據顯示,截至今日10:00,永續合約交易量達10.8億USDT,其中ETH/USDT永續合約交易量為1.79億張,現報價589.37USDT。BTC/USDT永續合約交易量為3.25億張,現報價19199.9USDT。BTC千倍合約交易量為1.17億張,多空持倉人數比為0.96,市場空人數暫時占優。

AOFEX數字貨幣金融衍生品交易所,旨在為用戶提供優質服務和資產安全保障。[2020/12/8 14:32:13]

首先我們需要知道什么是閃兌?

很多加密錢包出了閃兌功能,之所以叫這個名字主要就是因為不同數字貨幣之間的交易速度很快,因為閃兌不需要像交易所那樣來撮合買方和賣方之間的訂單,閃兌更像是柜臺交易,就像去銀行拿美元兌換人民幣,在匯率已知的情況下,給多少美元,銀行就會根據匯率兌換給你相應數量的人民幣。

CME比特幣期貨6月合約收跌1%:金色財經報道,成交量最高的CME比特幣期貨2020年6月合約今日收跌95美元,收報9315美元,跌幅達1%。2020年7月、8月和9月合約分別收報9385美元、9435美元和9475美元。[2020/6/20]

閃兌除了兌換交易速度快之外,還有一些其他的功能,這也是很多用戶使用它的原因。

下面,我們回到本次事件技術層面來分析。

BSC鏈上的攻擊交易:

https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189

Huobi合約精英賬戶數多空比連續3天上升:據合約帝行情數據顯示:Huobi合約精英賬戶數多空比連續3天上升,多空比例由22日43%(多頭):56%(空頭)上升至今日47%(多頭):51%(空頭);此外,當前Huobi合約精英持倉量多空比為55.70%(多頭):44.30%(空頭)。[2020/3/24]

以太坊上的攻擊交易:

https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7

用戶進行swap兌換時,正常流程是先通過TransitCrossRouterv3合約選擇路由合約,隨后通過TransitSwap&CrossApproveProxy合約進行權限驗證后,調用claimTokens函數將用戶兌換的token轉入路由合約中。而TransitSwap合約實現時,上述三個合約均未對用戶輸入數據進行正確的驗證,導致攻擊者可以構造出任意指定的兌換數據calldata,其中可以將授權過的用戶的代幣轉入攻擊者指定的任意地址之中。

動態 | 普華集團憑借形式化智能合約技術獲“院士推優計劃”百強獎:近日,第三屆中國工業設計展覽會在武漢舉行,普華集團憑借基于區塊鏈技術創立的形式化智能合約技術,榮獲“2019年一帶一路創新設計榜院士推優計劃百強獎”。據悉,形式化智能合約技術是由普華集團研發的智能合約可視化增強技術,它由可視化視圖、模板與庫、指令規則集、視圖轉化器、指令編譯器等內容組成。(新浪財經)[2020/1/6]

這個合約未對下面的calldata進行驗證,解析后為下圖的input,里面指定了收款人為攻擊者地址。

攻擊者就通過這種方式,共獲利約2100萬美元。隨后將資金歸集到獲利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,

但是項目方依然沒有放棄,隨后TransitSwap官方發布公告稱,目前已確定黑客IP、電子郵件地址,以及相關的鏈上地址。TransitSwap團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。

隨著事件的影響力擴大,攻擊者似乎也知道真實身份難保。也可能是被項目方“感化”,這位攻擊者決定退回盜取的資產。

截止發稿前,目前攻擊者已將BNB鏈上的37,000BNB和1500ETH,以太坊上的3,180ETH歸還給項目方。2500BNB被轉移到Tornado.Cash,剩余的12,612BNB仍在攻擊者地址上,價值約356萬美元。成都鏈安鏈必追-虛擬貨幣案件智能研判平臺正在對被盜資金進行實時追蹤。

從本次事件,我們可以看到,合約授權依然潛藏著諸多風險。

來源:成都鏈安

Tags:NSITRAANSSWAPNSI幣StratisMOCEANSChilliSwap

火幣交易所
區塊鏈:金色圖覽 | NFT交易市場TOP3周報(9.18 - 9.24)_區塊鏈游戲幣有哪些

周報概要: 1、上周NFT市場成交量有所回落,較上周下降約-9.7%;其中X2Y2周成交額持續位居榜首,份額占比45.8%.

1900/1/1 0:00:00
REL:為什么開發者關系對 Web3 的成功至關重要?_EVRF

來源:Chainlink之前,我們研究了早期初創公司如何建立開發者社區和跟蹤產品與市場的契合度。如果沒有有效的開發者關系團隊,這些舉措不太可能成功.

1900/1/1 0:00:00
BOB:金色觀察|Spartan Labs研報:基礎SBT以及隱私性SBT的實現_BTC

文/?YongKangChia和JunHaoYap,SpartanLabs,標題:TheConstructionoftheSoulPart2:ImplementationsofSBT這是一個由三.

1900/1/1 0:00:00
COSM:Cosmos聯合創始人:一個密碼學漏洞引發的幣安跨鏈橋攻擊_COS

原文作者:Cosmos聯合創始人EthanBuchman關于幣安黑客事件的一些想法。Binance是Cosmos軟件的最大用戶,他們運營著一個價值數百億美元的平臺,但沒有對核心軟件做出有意義的貢.

1900/1/1 0:00:00
VET:金色趨勢丨BTC大級別變盤不遠了_人工智能幣圈

目前BTC4小時級別處于前期見頂22800下降趨勢通道內運行,加息夜向上插針至20000附近剛好位于通道上邊線,后面回落至最低18100附近創出近期新低,4小時形成一個底背離迎來近期反彈.

1900/1/1 0:00:00
NFT:金色觀察 | 隨著加密市場行情下行 虛擬土地交易量暴跌_The Doge NFT

在2021年實現空前增長后,虛擬世界中虛擬土地的交易量隨著更廣泛的加密市場價格暴跌而暴跌。事實上,截至2022年9月12日,18個元宇宙虛擬土地項目的跟蹤銷售額的虛擬交易量從2021年的高點暴跌.

1900/1/1 0:00:00
ads