2022年10月2日,據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示,TransitSwap項目遭受攻擊,被盜約2100萬美元。關于本次事件,成都鏈安安全團隊第一時間進行了分析。
首先在今早發現被盜后,TransitSwap技術團隊緊急暫停服務,無法進行任何操作,很多用戶也在社交平臺紛紛表示自己錢包的資產被盜。
據悉,本次事件的主角TransitSwap是某加密錢包下的閃兌交易平臺。
BNB Chain 上pGALA合約遭到攻擊,導致GALA短時下跌超20%:11月4日消息, 一個BNB Chain上地址憑空鑄造了超10億美元的pGALA代幣并通過在PancakeSwap上售出獲利,導致此前GALA短時下跌超20%。
多鏈路由協議pNetwork在Twitter上表示,因跨鏈橋配置錯誤需要重新部署BNB Chain上的pGALA合約,目前正在與Gala Games團隊以及PancakeSwap合作獲得用戶pGALA的賬戶余額并恢復存提幣功能。pNetwork表示,目前GALA跨鏈橋已暫停,正在嘗試耗盡PancakeSwap上的流動性,請用戶不要在BNB Chain上DEX中交易pGALA。
pNetwork表示,新合約部署后將以1:1的比例空投新的pGALA代幣,將在幾個小時內發布漏洞報告和更新進展。目前以太坊上的GALA代幣以及跨橋上其他資產均是安全的。[2022/11/4 12:16:25]
首先我們需要知道什么是閃兌?
58COIN交割合約24H行情9:00播報:截至9:00,據58COIN交割合約行情:
BTC合約現報價17661.66美元,較現貨貼水29.43美元,24h漲跌幅5.39%。成交量5743.17萬手,成交額200042.19萬美元,當前持倉總量184.62萬手,較上一交易日變化14.68萬手。
EOS合約現報價2.71美元,較現貨貼水0.0050美元,24h漲跌幅3.44%。成交量249.69萬手,成交額1338.53萬美元,當前持倉總量347.57萬手,較上一交易日變化-9.13萬手。
ETH合約現報價485.84美元,較現貨貼水0.81美元,24h漲跌幅4.11%。成交量488.15萬手,成交額11545.76萬美元,當前持倉總量149.47萬手,較上一交易日變化13.86萬手。[2020/11/18 21:08:57]
很多加密錢包出了閃兌功能,之所以叫這個名字主要就是因為不同數字貨幣之間的交易速度很快,因為閃兌不需要像交易所那樣來撮合買方和賣方之間的訂單,閃兌更像是柜臺交易,就像去銀行拿美元兌換人民幣,在匯率已知的情況下,給多少美元,銀行就會根據匯率兌換給你相應數量的人民幣。
OKEx期權合約系統維護已完成:據官網公告,OKEx已于2020年9月9日17:10完成本次系統維護。[2020/9/9]
閃兌除了兌換交易速度快之外,還有一些其他的功能,這也是很多用戶使用它的原因。
下面,我們回到本次事件技術層面來分析。
BSC鏈上的攻擊交易:
https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189
以太坊上的攻擊交易:
24小時BTC全網合約成交數據顯示:多方占優:據合約帝數據顯示,最近24小時BTC全網合約成交量中開多比例為52.04%,開空比例為47.96%。主流合約交易所中,Huobi季度開多比例為50.38%,開空比例為49.62%;OKEx季度開多比例為50.24%,開空比例為49.76%;BitMEX合約開多比例為54.87%,開空比例為45.13%。[2020/4/23]
https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7
用戶進行swap兌換時,正常流程是先通過TransitCrossRouterv3合約選擇路由合約,隨后通過TransitSwap&CrossApproveProxy合約進行權限驗證后,調用claimTokens函數將用戶兌換的token轉入路由合約中。而TransitSwap合約實現時,上述三個合約均未對用戶輸入數據進行正確的驗證,導致攻擊者可以構造出任意指定的兌換數據calldata,其中可以將授權過的用戶的代幣轉入攻擊者指定的任意地址之中。
這個合約未對下面的calldata進行驗證,解析后為下圖的input,里面指定了收款人為攻擊者地址。
攻擊者就通過這種方式,共獲利約2100萬美元。隨后將資金歸集到獲利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,
但是項目方依然沒有放棄,隨后TransitSwap官方發布公告稱,目前已確定黑客IP、電子郵件地址,以及相關的鏈上地址。TransitSwap團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。
隨著事件的影響力擴大,攻擊者似乎也知道真實身份難保。也可能是被項目方“感化”,這位攻擊者決定退回盜取的資產。
截止發稿前,目前攻擊者已將BNB鏈上的37,000BNB和1500ETH,以太坊上的3,180ETH歸還給項目方。2500BNB被轉移到Tornado.Cash,剩余的12,612BNB仍在攻擊者地址上,價值約356萬美元。成都鏈安鏈必追-虛擬貨幣案件智能研判平臺正在對被盜資金進行實時追蹤。
從本次事件,我們可以看到,合約授權依然潛藏著諸多風險。
來源:成都鏈安
信貸是經濟機器的運行中最重要的組成部分之一,貸款人希望錢能生出利息,借款人想購買當前無法負擔的某種東西,貸款人以及借款人雙方基于信任產生借貸關系.
1900/1/1 0:00:00吳說作者?|?ColinWu本期編輯?|?ColinWu10月8日凌晨,火幣宣布控股股東公司已向百域資本旗下基金轉讓所持有的全部HuobiGlobal股份.
1900/1/1 0:00:00撰文:LaurenGoode&GideonLichfield,WIRED編譯:Katie辜,Odaily以太坊聯合創始人Vitalik?Buterin表示.
1900/1/1 0:00:00作者:李秋涵 5月份離職后,4個月時間里張磊已經去過西藏、昆明、大理、上海、武漢、成都6個地方。每到一個地方,他會短租一個房子生活一段時間。最近,他駐扎在廣東佛山,一個月租金1500元.
1900/1/1 0:00:00FX168財經報社(北美)訊周四(10月6日),最近美國的職位空缺減少了,這可能會以某種方式對比特幣和更廣泛的加密市場產生影響。 美國最近的失業數據顯示,勞動力市場仍然主要強勁,為3.8%.
1900/1/1 0:00:00DeFi數據 1.DeFi代幣總市值:443.35億美元 DeFi總市值數據來源:coingecko2.過去24小時去中心化交易所的交易量34.
1900/1/1 0:00:00