以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > 中幣 > Info

合約授權的風險:Transit Swap 被盜約2100萬美元事件分析_TRA

Author:

Time:1900/1/1 0:00:00

2022年10月2日,據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示,TransitSwap項目遭受攻擊,被盜約2100萬美元。關于本次事件,成都鏈安安全團隊第一時間進行了分析。

首先在今早發現被盜后,TransitSwap技術團隊緊急暫停服務,無法進行任何操作,很多用戶也在社交平臺紛紛表示自己錢包的資產被盜。

據悉,本次事件的主角TransitSwap是某加密錢包下的閃兌交易平臺。

繽果合約(BingoEx)下調永續合約手續費與持倉費率:自2020年6月25日00:00(UCT+8)端午起,繽果合約(BingoEx)全面下調永續合約手續費。開平倉費率由原來的0.06%下調至0.04%,持倉費率由原來的0.03%下調至0.02%),平臺新老用戶均可享受此優惠。

繽果合約(BingoEx)隸屬于BingoEx Capital集團,是2019年3月在美國注冊成立的數字資產衍生品交易平臺。截至目前,累計注冊用戶已有42萬以上,50名以上技術和金融安全團隊,系統采用多重底層安全技術,已與多家區塊鏈安全服務平臺達成合作。[2020/6/29]

首先我們需要知道什么是閃兌?

CME比特幣期貨4月合約收跌0.95%:金色財經報道,成交量最高的CME比特幣期貨2020年4月合約今日收跌65美元,收報6800美元,跌幅0.95%。2020年5月、6月和7月合約分別收報6845美元、6865美元和6880美元。[2020/4/4]

很多加密錢包出了閃兌功能,之所以叫這個名字主要就是因為不同數字貨幣之間的交易速度很快,因為閃兌不需要像交易所那樣來撮合買方和賣方之間的訂單,閃兌更像是柜臺交易,就像去銀行拿美元兌換人民幣,在匯率已知的情況下,給多少美元,銀行就會根據匯率兌換給你相應數量的人民幣。

閃兌除了兌換交易速度快之外,還有一些其他的功能,這也是很多用戶使用它的原因。

最近5分鐘合約市場爆倉超1314萬美元:據合約帝行情統計報告顯示:最近5分鐘合約市場全網總計爆倉1314萬美元,其中BTC爆倉1187萬美元,ETH爆倉75.57萬美元。[2020/3/30]

下面,我們回到本次事件技術層面來分析。

BSC鏈上的攻擊交易:

https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189

以太坊上的攻擊交易:

https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7

動態 | SBTC官方表示當區塊高度達到531806時將重新激活智能合約:據SBTC官方消息,超級比特幣技術團隊用一周時間,解決了智能合約項目激活過程中代碼與部分礦機不兼容等問題,最新的Releases版本已經上傳到Github。SBTC官方決定,當區塊高度達到531806時,將重新激活智能合約。當前區塊高度為531694,距離激活條件僅差0.021%。[2018/7/31]

用戶進行swap兌換時,正常流程是先通過TransitCrossRouterv3合約選擇路由合約,隨后通過TransitSwap&CrossApproveProxy合約進行權限驗證后,調用claimTokens函數將用戶兌換的token轉入路由合約中。而TransitSwap合約實現時,上述三個合約均未對用戶輸入數據進行正確的驗證,導致攻擊者可以構造出任意指定的兌換數據calldata,其中可以將授權過的用戶的代幣轉入攻擊者指定的任意地址之中。

這個合約未對下面的calldata進行驗證,解析后為下圖的input,里面指定了收款人為攻擊者地址。

攻擊者就通過這種方式,共獲利約2100萬美元。隨后將資金歸集到獲利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,

但是項目方依然沒有放棄,隨后TransitSwap官方發布公告稱,目前已確定黑客IP、電子郵件地址,以及相關的鏈上地址。TransitSwap團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。

隨著事件的影響力擴大,攻擊者似乎也知道真實身份難保。也可能是被項目方“感化”,這位攻擊者決定退回盜取的資產。

截止發稿前,目前攻擊者已將BNB鏈上的37,000BNB和1500ETH,以太坊上的3,180ETH歸還給項目方。2500BNB被轉移到Tornado.Cash,剩余的12,612BNB仍在攻擊者地址上,價值約356萬美元。成都鏈安鏈必追-虛擬貨幣案件智能研判平臺正在對被盜資金進行實時追蹤。

從本次事件,我們可以看到,合約授權依然潛藏著諸多風險。

來源:成都鏈安

Tags:TRARANTRANSNSISwapTrackertranchess幣Evident Proof Transaction Tokenunsig幣

中幣
華納音樂集團招聘元宇宙開發總監計劃推出虛擬宇宙_WEB3

金色財經報道,美國華納音樂集團正在招聘至少兩名可以開發和管理與web3相關的項目的人。根據LinkedIn上的招聘信息,第一份工作需要為元宇宙品牌和平臺制定營銷計劃,并在元宇宙、web3游戲、A.

1900/1/1 0:00:00
迪士尼藝術家全球獨家首發「Fairyspell精靈女孩」數字頭像_AIR

2020年被稱為“人類社會虛擬化的臨界點”,無數青年人在虛擬世界中進行開放式探索,通過創造性的游玩尋找與現實世界的連通.

1900/1/1 0:00:00
ZKP如何確保Web3的隱私和安全?_ARK

以太坊目前使用零知識證明作為擴展解決方案已成為不可忽視的趨勢。零知識證明可以在不改變區塊大小或速度的情況下提高區塊鏈的吞吐量,從而使區塊鏈用戶實現隱私和安全.

1900/1/1 0:00:00
律師觀點:ETHPoS是商品還是證券_SEC

從創建的那一刻起,關于ETH性質的爭論就不能被簡單歸結。在最近協議向“權益證明”交易驗證機制完成過渡時,爭議只會更甚。核心體現在ETH是商品還是證券.

1900/1/1 0:00:00
熊市之下 比特幣和美股的相關性究竟如何?_比特幣

本文來自caia,原文作者:VettaFiResearch副主任RoxannaIslamOdaily星球日報譯者|Moni 在當前宏觀市場動蕩的情況下,“相關性”是一個需要認真考慮的因素.

1900/1/1 0:00:00
盤點固件安全賽道 a16z看到了什么?_BIOS

原文來源:阿法兔研究筆記本文是筆者最近關于基礎安全領域的人、趨勢、現象的觀察,把系列思考總結成為了文章,試圖從幾個角度,探討一個國內相對較少有人探討的賽道——固件安全市場和需求變化的方向.

1900/1/1 0:00:00
ads