BTC/HKD-0.03%
ETH/HKD+0.1%
LTC/HKD+0%
DOT/HKD+0.34%
ADA/HKD+0.28%
SOL/HKD-0.07%
XRP/HKD+0.34%
DOGE/US+1.31%據慢霧區情報,2022年01月28日,Qubit項目的QBridge遭受攻擊,損失約8000萬美金。慢霧安全團隊進行分析后以簡析的形式分享給大家。
簡要分析
1.攻擊者通過ETH上的QBridge合約進行存款操作,存款時傳入所要跨的目標鏈destinationDomainID、所要跨鏈的資產resourceID以及跨鏈資金數量與接收地址等參數構成的data。
2.攻擊者指定傳入的resourceID為跨ETHToken所需要的值,但其調用的是QBridge的deposit函數而非depositETH函數,因此首先繞過了跨鏈資金數量與msg.value的檢查。deposit函數會根據resourceID從映射中取出handler地址進行充值,由于攻擊者傳入的是真實的跨ETHToken所需要的值所以可以順利調用handler合約的deposit函數。
加密交易所Coincheck的納斯達克上市可能再次被推遲:金色財經報道,日本加密貨幣交易所Coincheck通過與特殊目的收購公司(SPAC)Thunder Bridge Capital Partners IV合并在納斯達克上市的計劃,面臨著可能的進一步推遲。
根據5月16日的初步代理聲明,Thunder Bridge董事會認為沒有足夠的時間在7月2日的最后期限前完成合并。它建議將最后期限最多延長12個月,但須經股東投票。
Coincheck與Thunder Bridge的合并在2022年3月首次宣布,最初預計在今年下半年完成。然而,在10月,Coincheck表示,最后期限已被推到2023年7月2日。[2023/5/25 10:40:11]
3.handler合約的deposit函數中會根據resourceID取出的所要充值的Token是否在白名單內進行檢查,由于攻擊者傳入的resourceID對應ETH,因此映射中取出的所要充值的Token為0地址,即會被認為是充值ETH而通過了白名單檢查。但deposit函數中卻并沒有對所要充值的Token地址再次進行檢查,隨后直接通過safeTransferFrom調用了所要充值的Token的transferFrom函數。
今日恐慌與貪婪指數為29,恐慌程度保持不變:金色財經報道,今日恐慌與貪婪指數為29(昨日為29),恐慌程度保持不變,等級仍為恐慌。注:恐慌指數閾值為0-100,包含指標:波動性(25%)+市場交易量(25%)+社交媒體熱度(15%)+市場調查(15%)+比特幣在整個市場中的比例(10%)+谷歌熱詞分析(10%)。[2022/12/26 22:07:33]
4.由于所要充值的Token地址為0地址,而call調用無codesize的EOA地址時其執行結果都會為true且返回值為空,因此通過transferFrom的轉賬操作通過了safeTransferFrom的檢查,最后觸發了Deposit跨鏈充值事件。
CurrencyWorks旗下MusicFX平臺發布首款NFT音樂播放器:5月31日消息,區塊鏈平臺提供商、加拿大上市公司Currency WorksInc.宣布旗下Music FX平臺推出首款NFT音樂播放器,該款播放器可以讓那些與Music FX合作的藝術家通過NFT發布新歌,所有音樂歌曲都不會被非法復制或下載,繼而解決了盜版問題。
此外,音樂人可以自行決定NFT發行量,NFT也可以提供給粉絲用于購買歌曲并獲得額外福利。[2022/6/1 3:54:01]
5.由于傳入的resourceID為跨ETH所需要的值,因此觸發的Deposit事件與真正充值ETH的事件相同,這讓QBridge認為攻擊者進行了ETH跨鏈,因此在BSC鏈上為攻擊者鑄造了大量的qXETHToken。攻擊者利用此qXETH憑證耗盡了Qubit的借貸池。
MistTrack分析
慢霧AML旗下?MistTrack反洗錢追蹤系統分析發現,攻擊者地址(0xd01...5c7)首先從Tornado.Cash提幣獲取初始資金,隨后部署了合約,且該攻擊者地址交互的地址是Qubit、PancakeSwap和Tornado.Cash合約地址。目前資金未發生進一步轉移。慢霧AML將持續監控被盜資金的轉移,拉黑攻擊者控制的錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。
總結
本次攻擊的主要原因在于在充值普通Token與nativeToken分開實現的情況下,在對白名單內的Token進行轉賬操作時未對其是否為0地址再次進行檢查,導致本該通過native充值函數進行充值的操作卻能順利走通普通Token充值邏輯。慢霧安全團隊建議在對充值Token進行白名單檢查后仍需對充值的是否為nativeToken進行檢查。
參考交易:
https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acf
https://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02
原文鏈接
Tags:TOKEKENTOKENTOKCoinary TokenDog Club TokenWPP TokenDAIN Token
親愛的用戶:虎年春節颯爽登場,桑托斯足球隊的吉祥物「比利鯨」與「比莉娜鯨」誠邀全球桑托斯球迷及幣安用戶歡度佳節,一齊加入最新交易大賽,在幣安粉絲代幣的大海中乘風破浪.
1900/1/1 0:00:00公告編號2022012903各位關心ZBG的投資者們和項目方:USDT(ERC20)因錢包升級暫停提幣,具體開放時間以公告為準,給您帶來不便深感抱歉,敬請諒解.
1900/1/1 0:00:00原文作者:胖花花,律動BlockBeats過去的1年里是加密貨幣世界第一次正式走進國會議員的世界.
1900/1/1 0:00:00原文作者:Cobie 原文編譯:麟奇,鏈捕手 過去一年多來,在市場上有一種壓倒性情緒存在,即"邪惡的VC擁有不公平的優勢,他們一直在向我們拋售代幣".
1900/1/1 0:00:00本文來自Decrypt,原文作者:LiamJ.Kelly&AC推特,由Odaily星球日報譯者Katie辜編譯.
1900/1/1 0:00:00爲了幫助用戶更好地進行收益管理,Gate.io將在其官方博客提供豐富及時的行業資訊、獨家研究報告等優質內容,爲大家提供全方位的策略支持.
1900/1/1 0:00:00
以太幣交易所
