以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > AAVE > Info

詳解Qubit項目QBridge被黑始末:不翼而飛的8000萬美元_TOK

Author:

Time:1900/1/1 0:00:00

據慢霧區情報,2022年01月28日,Qubit項目的QBridge遭受攻擊,損失約8000萬美金。慢霧安全團隊進行分析后以簡析的形式分享給大家。

簡要分析

1.攻擊者通過ETH上的QBridge合約進行存款操作,存款時傳入所要跨的目標鏈destinationDomainID、所要跨鏈的資產resourceID以及跨鏈資金數量與接收地址等參數構成的data。2.攻擊者指定傳入的resourceID為跨ETHToken所需要的值,但其調用的是QBridge的deposit函數而非depositETH函數,因此首先繞過了跨鏈資金數量與msg.value的檢查。deposit函數會根據resourceID從映射中取出handler地址進行充值,由于攻擊者傳入的是真實的跨ETHToken所需要的值所以可以順利調用handler合約的deposit函數。3.handler合約的deposit函數中會根據resourceID取出的所要充值的Token是否在白名單內進行檢查,由于攻擊者傳入的resourceID對應ETH,因此映射中取出的所要充值的Token為0地址,即會被認為是充值ETH而通過了白名單檢查。但deposit函數中卻并沒有對所要充值的Token地址再次進行檢查,隨后直接通過safeTransferFrom調用了所要充值的Token的transferFrom函數。4.由于所要充值的Token地址為0地址,而call調用無codesize的EOA地址時其執行結果都會為true且返回值為空,因此通過transferFrom的轉賬操作通過了safeTransferFrom的檢查,最后觸發了Deposit跨鏈充值事件。5.由于傳入的resourceID為跨ETH所需要的值,因此觸發的Deposit事件與真正充值ETH的事件相同,這讓QBridge認為攻擊者進行了ETH跨鏈,因此在BSC鏈上為攻擊者鑄造了大量的qXETHToken。攻擊者利用此qXETH憑證耗盡了Qubit的借貸池。MistTrack分析

MultiversX集成Binance Connect入金解決方案:3月23日消息,可擴展區塊鏈MultiversX集成幣安支付基礎設施提供商Binance Connect,用戶可通過Binance Connect入金解決方案進入MultiversX生態,現已在xPortal應用程序、MultiversX錢包、buy.multiversx.com與MultiversX DeFi擴展程序(Chrome與Firefox)中可用。[2023/3/23 13:20:27]

慢霧AML旗下MistTrack反洗錢追蹤系統分析發現,攻擊者地址(0xd01...5c7)首先從Tornado.Cash提幣獲取初始資金,隨后部署了合約,且該攻擊者地址交互的地址是Qubit、PancakeSwap和Tornado.Cash合約地址。目前資金未發生進一步轉移。慢霧AML將持續監控被盜資金的轉移,拉黑攻擊者控制的錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。

加密衍生品平臺Paradigm曾計劃融資約1億美元,目前融資已被擱置:金色財經報道,加密貨幣衍生品交易平臺Paradigm因FTX破產而導致交易量暴跌,從11月6日開始的一周,Paradigm的每周交易量約為34億美元,但目前每周交易量已跌至10.2億美元。

知情人士表示,Paradigm曾與潛在投資者就融資約1億美元進行了會談,但目前該計劃已擱置。Paradigm聯合創始人兼首席執行官Anand Gomes稱,將在明年市場狀況改善時再次考慮融資。[2022/12/17 21:49:51]

BNB鏈上NFT交易總額已超1億美元:金色財經報道,據cryptoslam最新數據顯示,BNB鏈上NFT交易總額已超1億美元,本文撰寫時達到126,469,372美元,交易總量為640,519筆,鏈上買家數量為169,894個。[2022/10/23 16:36:12]

總結

本次攻擊的主要原因在于在充值普通Token與nativeToken分開實現的情況下,在對白名單內的Token進行轉賬操作時未對其是否為0地址再次進行檢查,導致本該通過native充值函數進行充值的操作卻能順利走通普通Token充值邏輯。慢霧安全團隊建議在對充值Token進行白名單檢查后仍需對充值的是否為nativeToken進行檢查。參考交易:https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acfhttps://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02原地址

Tags:TOKTOKENKENTOKEpjdtokenEZTokenLitecoin Tokenbimintoken

AAVE
Web3迷思集(二):用戶擁有Web3至關重要_WEB

相關閱讀: Web3迷思集:在Web2中我遇到了什么問題?Web3迷思集:Web3的3+1模型 繼續上一期迷思聊起。我算是一個兼職的內容創作者,這幾年也斷斷續續輸出過一些文章.

1900/1/1 0:00:00
Hasu對話Su Zhu:以太坊的未來與新公鏈的機遇_以太坊

SuZhu(現推特名ZhuSu),三箭資本創始人,加密世界中最有權勢的男人之一,現在多了一個身份標簽,被Cryptobriefing評選為2021加密世界十大“惡棍”之首.

1900/1/1 0:00:00
萬字長文展望2022,哪些項目將會給你帶來ALPHA收益?_區塊鏈

2022市場整體展望 你好!對于我的墮落同胞和其他不知何故闖入這個頁面的讀者們,我將嘗試在這里梳理今年一季度的一些想法.

1900/1/1 0:00:00
淺談NFT稀有度玄學_NFT

當我們購入NFT的時候,有些純財務投資者會選擇“掃地板”,直接價格LowtoHigh排序,批量買最低價的,等著地板價格上漲就好.

1900/1/1 0:00:00
星球日報 | Meta計劃推出NFT市場;LOOKS突破7 USDT,創歷史新高(1月21日)_NFT

頭條 Meta計劃讓用戶在Facebook和Instagram上展示NFT,并討論推出NFT市場幾位知情人士透露.

1900/1/1 0:00:00
流動性挖礦已死,未來路在何方?_TOK

原文標題:《LiquidityMiningIsDead.WhatComesNext?》原文作者:AndrewThurman原文編譯:James,鏈捕手目前看來,流動性挖礦似乎已經油盡燈枯.

1900/1/1 0:00:00
ads