比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 非小號 > Info

QBridge 被黑簡析:8000 萬美元不翼而飛_ETH

Author:

Time:1900/1/1 0:00:00

據慢霧區情報,2022 年 01 月 28 日,Qubit 項目的 QBridge 遭受攻擊,損失約 8000 萬美金。慢霧安全團隊進行分析后以簡析的形式分享給大家。

簡要分析

1. 攻擊者通過 ETH 上的 QBridge 合約進行存款操作,存款時傳入所要跨的目標鏈 destinationDomainID、所要跨鏈的資產 resourceID 以及跨鏈資金數量與接收地址等參數構成的 data。

四川武勝縣檢察院已批捕QBTC相關人員:據四川省廣安市武勝縣局的信件回復內容,5月接群眾舉報在QBTC平臺交易QT等虛擬貨幣被騙,經調查李某等人涉嫌詐騙,于6月4日抓獲歸案。目前李某等嫌疑人已被武勝縣人民檢察院依法批準逮捕,該案正在進一步偵辦中,并讓該平臺會員與聯系。(深潮TechFlow)[2020/8/4]

2. 攻擊者指定傳入的 resourceID 為跨 ETH 代幣所需要的值,但其調用的是 QBridge 的 deposit 函數而非 depositETH 函數,因此首先繞過了跨鏈資金數量與 msg.value 的檢查。deposit 函數會根據 resourceID 從映射中取出 handler 地址進行充值,由于攻擊者傳入的是真實的跨 ETH 代幣所需要的值所以可以順利調用 handler 合約的 deposit 函數。

USDK上線QBTC 現開啟BTC/USDK等交易:據官方消息,USDK穩定幣上線QBTC,現已開啟BTC/USDK、ETH/USDK、USDT/USDK交易對的交易服務。

據悉,USDK是區塊鏈大數據公司歐科云鏈OKLink與美國信托公司Prime Trust聯合推出的合規穩定幣業務,錨定1:1美元兌換。由美國審計公司EideBailly每月出具審計報告,確保資產透明。[2020/4/24]

3. handler 合約的 deposit 函數中會根據 resourceID 取出的所要充值的代幣是否在白名單內進行檢查,由于攻擊者傳入的 resourceID 對應 ETH,因此映射中取出的所要充值的代幣為 0 地址,即會被認為是充值 ETH 而通過了白名單檢查。但 deposit 函數中卻并沒有對所要充值的代幣地址再次進行檢查(充值 ETH 應該是要通過 depositETH 函數進行跨鏈),隨后直接通過 safeTransferFrom 調用了所要充值的代幣的 transferFrom 函數。

動態 | LoanScan和Bloqboard背后團隊推出帶有DeFi后端的銀行服務應用Linen:加密借貸公司Bloqboard和加密貨幣數據提供商LoanScan背后的團隊正在推出一款名為Linen的銀行服務應用。該應用整合了DeFi功能,目標是通過減少借貸過程中對多個DApp的需求來降低普及加密的障礙,從而讓非加密用戶更容易接觸到加密貨幣。Linen最近還完成了一輪金額未披露的融資,參投者包括Polychain、Coinbase、Wyre和Hashkey,其中Hashkey為戰略性投資。需要注意的是,Linen并未對紐約居民開放服務。(The Block)[2019/9/21]

4. 由于所要充值的代幣地址為 0 地址,而 call 調用無 code size 的 EOA 地址時其執行結果都會為 true 且返回值為空,因此通過 transferFrom 的轉賬操作通過了 safeTransferFrom 的檢查,最后觸發了 Deposit 跨鏈充值事件。

公告 | 趣幣網今日正式完成9億QB的銷毀:趣幣(qubi)數字交易平臺今日發布公告稱,按照社區決議,趣幣團隊已于2019年1月3日上午12:00對QB限售通證進行銷毀。本次銷毀的QB數量為9億枚,占總發行量的90%。[2019/1/3]

5. 由于傳入的 resourceID 為跨 ETH 所需要的值,因此觸發的 Deposit 事件與真正充值 ETH 的事件相同,這讓 QBridge 認為攻擊者進行了 ETH 跨鏈,因此在 BSC 鏈上為攻擊者鑄造了大量的 qXETH 代幣。攻擊者利用此 qXETH 憑證耗盡了 Qubit 的借貸池。

MistTrack 分析

慢霧 AML 旗下 MistTrack 反洗錢追蹤系統分析發現,攻擊者地址(0xd01...5c7)首先從 Tornado.Cash 提幣獲取初始資金,隨后部署了合約,且該攻擊者地址交互的地址是 Qubit、PancakeSwap 和 Tornado.Cash 合約地址。目前資金未發生進一步轉移。慢霧 AML 將持續監控被盜資金的轉移,拉黑攻擊者控制的錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。

總結

本次攻擊的主要原因在于在充值普通代幣與 native 代幣分開實現的情況下,在對白名單內的代幣進行轉賬操作時未對其是否為 0 地址再次進行檢查,導致本該通過 native 充值函數進行充值的操作卻能順利走通普通代幣充值邏輯。慢霧安全團隊建議在對充值代幣進行白名單檢查后仍需對充值的是否為 native 代幣進行檢查。

參考交易:

https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acf

https://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02

Tags:ETHDEPOPOSIDEPEtherNexusPOSI價格

非小號
RociFi:Web3的0抵押借貸協議 申請測試領獎勵_ROCK

目前的抵押借貸問題 “抵押不足的借貸”是DeFi中目前尚未解決的基本組成部分,因為借款人的鏈上匿名屬性,導致當前的區塊鏈貸款資本效率非常低(因為需要超額抵押).

1900/1/1 0:00:00
Mirror是什么?為什么花錢也要在上面發文章?_MIR

Mirror.xyz是什么? Mirror.xyz當前是一個主要用來發布文章的平臺,結合 DAO、Web3、NFT.

1900/1/1 0:00:00
Metis會超越Optimism穩坐Layer 2第三的寶座么?_METIS

Metis 是一個基于 Optimism 分叉的 Layer 2 公鏈網絡。Footprint Analytics 的數據顯示,截止 2 月 15 日,Metis TVL 高達到 3.75 億美.

1900/1/1 0:00:00
讀懂OlympusDAO:Defi2.0的扛旗者 不穩定的算法穩定幣_DAI

流動性以驚人的速度離開農場。“在農場啟動當天進入農場的農民,有42%的用戶在24小時內退出,約16%的用戶會在48小時內離開,到了第三天,70%的用戶將會離開農場”.

1900/1/1 0:00:00
Aave 在 Polygon 上推出基于 NFT 的去中心化 Twitter Rival_AVE

流行的 DeFi 借貸協議Aave正在為其最新的Web3項目走一條截然不同的路線,今天宣布公開推出Lens 協議,這是一個使用NFT資產為社交媒體平臺提供動力的去中心化社交圖譜.

1900/1/1 0:00:00
回顧加密「雷曼時刻」:Terra之外 還有哪些受波及的項目?_UST

此次「UST 脫錨」的崩盤事件中,Terra 生態數百億市值在數日內蒸發殆盡,對 Terra 自身生態帶來了毀滅性打擊,證明了加密市場沒有「too big to fail」的神話.

1900/1/1 0:00:00
ads