比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

合約授權的風險:Transit Swap 被盜約2100萬美元事件分析_TRA

Author:

Time:1900/1/1 0:00:00

2022年10月2日,據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示,Transit Swap 項目遭受攻擊,被盜約2100萬美元。關于本次事件,成都鏈安安全團隊第一時間進行了分析。

首先在今早發現被盜后,Transit Swap 技術團隊緊急暫停服務,無法進行任何操作,很多用戶也在社交平臺紛紛表示自己錢包的資產被盜。

據悉,本次事件的主角Transit Swap是某加密錢包下的閃兌交易平臺。

火幣已正式上線HBAR、ENJ、REEF和ONE品種USDT本位永續合約:據火幣合約官方消息,火幣HBAR、ENJ、REEF和ONE品種USDT本位永續合約已于新加坡時間3月19日14點正式上線,用戶現可在平臺進行劃轉、交易等操作。 據悉,火幣USDT本位永續合約在每個新品種上線前,平臺均會提前配置一定額度風險準備金,以最大可能保護用戶權益。此次4個品種上線前,火幣合約已向其USDT本位永續合約風險準備金余額中注入了80萬USDT,各品種對應20萬USDT。

據了解,此次4個新幣上線后,火幣USDT本位永續合約已覆蓋BTC、ETH等主流幣,以及LINK、UNI、CHZ等熱門DeFi和NFT資產在內的79大主流品種,支持用戶在Web端、API端和APP端操作,最高125x倍數。

近期,火幣合約正在進行“合約牛年風暴,集牛卡分海量USDT”活動。詳情見官方公告。[2021/3/19 19:00:42]

首先我們需要知道什么是閃兌?

MXC抹茶12月9日14:00上線SKLUSDT永續合約:據官方公告,MXC抹茶12月9日14:00上線SKLUSDT永續合約,支持1-50倍杠桿自由調節。用戶可選擇全倉或逐倉模式進行開倉。MXC抹茶合約對盤口價差、買一賣一厚度進行了優化,除BTC、ETH、XRP等主流幣外,現已涵蓋UNI、SUSHI、DOT、YFI、YFII等DeFi、波卡概念熱門幣種。[2020/12/9 14:40:22]

很多加密錢包出了閃兌功能,之所以叫這個名字主要就是因為不同數字貨幣之間的交易速度很快,因為閃兌不需要像交易所那樣來撮合買方和賣方之間的訂單,閃兌更像是柜臺交易,就像去銀行拿美元兌換人民幣,在匯率已知的情況下,給多少美元,銀行就會根據匯率兌換給你相應數量的人民幣。

獨家 | Bakkt期貨合約數據一覽:金色財經報道,Bakkt Volume Bot數據顯示,9月29日,Bakkt比特幣月度期貨合約周交易額為7554萬美元,同比下降30%,未平倉合約量為1255萬美元,同比下降4%。[2020/9/30]

閃兌除了兌換交易速度快之外,還有一些其他的功能,這也是很多用戶使用它的原因。

下面,我們回到本次事件技術層面來分析。

BSC鏈上的攻擊交易:

https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189

Bitget合約大數據中心:BTC持續超跌 走勢反彈力度弱:據Bitget合約大數據中心行情播報,截至今日11:00,Bitget交易所BTC/USDT合約過去24小時交易量高達13.2億美金,其中:盈利用戶占比53%,多頭盈利17%,空頭盈利26%;虧損用戶占47%,多頭虧損43%,空頭虧損14%。此外,Bitget正向合約當前盤口價差在0.5USDT左右,合約基差在0.2USDT左右。

Bitget合約分析師表示,BTC短期大盤走勢持續偏下,小時線級別短中長期均線黏合向下發散。日線維持在高位的寬幅震蕩區間,從走勢上看,反彈力度較為薄弱。[2020/5/22]

以太坊上的攻擊交易:

https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7

用戶進行swap兌換時,正常流程是先通過Transit Cross Router v3合約選擇路由合約,隨后通過Transit Swap&Cross Approve Proxy合約進行權限驗證后,調用claimTokens函數將用戶兌換的token轉入路由合約中。而Transit Swap 合約實現時,上述三個合約均未對用戶輸入數據進行正確的驗證,導致攻擊者可以構造出任意指定的兌換數據calldata,其中可以將授權過的用戶的代幣轉入攻擊者指定的任意地址之中。

這個合約未對下面的calldata進行驗證,解析后為下圖的input,里面指定了收款人為攻擊者地址。

攻擊者就通過這種方式,共獲利約2100萬美元。隨后將資金歸集到獲利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,

但是項目方依然沒有放棄,隨后Transit Swap 官方發布公告稱,目前已確定黑客 IP、電子郵件地址,以及相關的鏈上地址。Transit Swap 團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。

隨著事件的影響力擴大,攻擊者似乎也知道真實身份難保。也可能是被項目方“感化”,這位攻擊者決定退回盜取的資產。

截止發稿前,目前攻擊者已將BNB鏈上的37,000 BNB 和1500 ETH,以太坊上的3,180 ETH歸還給項目方。2500 BNB被轉移到Tornado.Cash,剩余的12,612 BNB仍在攻擊者地址上,價值約356萬美元。成都鏈安鏈必追-虛擬貨幣案件智能研判平臺正在對被盜資金進行實時追蹤。

從本次事件,我們可以看到,合約授權依然潛藏著諸多風險。

來源:成都鏈安

財經法學

金色早8點

鏈捕手

PANews

Bress

Odaily星球日報

區塊律動BlockBeats

Tags:SDTUSDTUSDTRAAUSDT價格usdt幣提現到銀行卡會凍結嗎KXUSDDecentralized Pirates

萊特幣最新價格
Crypto雷曼時刻:FTX崩盤全紀實_CRYPT

來源Twitter:OolongCat720 Crypto?com為加拿大的Visa卡用戶增加了Google Pay和Apple Pay支持:金色財經報道.

1900/1/1 0:00:00
體育 NFT 想「割韭菜」不容易?_區塊鏈

撰文:MetaPost 有人堅信 NFT 的價值,有人則質疑其科技的幻象外衣;有人認為泡沫破滅了,也有人認為目前只是周期性波動。 當前的 NFT 行業宛若一個矛盾綜合體.

1900/1/1 0:00:00
以太坊新質押模型并不能代表 ETH 可被視為證券_HER

來源:老雅痞 1. 簡介 在以太坊過渡到權益證明共識機制(「合并」)之后,不同的評論家認為,以太坊的新質押模式可能導致其原始Token以太坊(ETH)被視為美國證券法下的證券.

1900/1/1 0:00:00
聚焦波哥大 Devcon VI_以太坊

Devcon VI 活動已經過半,ECN 和社區小伙伴 Pablo@Plancker 從中挑選了一些精彩演講進行編譯.

1900/1/1 0:00:00
了解以太坊擴展演進歷程 以太坊會有怎樣的擴展未來_以太坊

原文作者:Paween Pitimanaaree以太坊一直是用戶和開發人員的首選區塊鏈,在 DeFi 和 NFT 上的 TVL 超過 550 億美元.

1900/1/1 0:00:00
如果監管到來 美國可能禁止或監管哪些類型的加密貨幣?_穩定幣

在過去的幾周里,有許多關于美國高級官員呼吁監管和將加密貨幣歸類為證券的報道。 盡管所有這些消息似乎完全是負面的,但美國不太可能完全禁止加密。美國以制定嚴格的法律法規來保護投資者而聞名.

1900/1/1 0:00:00
ads