据慢雾区情报,2022年01月28日,Qubit项目的QBridge遭受攻击,损失约8000万美金。慢雾安全团队进行分析后以简析的形式分享给大家。
简要分析
1.攻击者通过ETH上的QBridge合约进行存款操作,存款时传入所要跨的目标链destinationDomainID、所要跨链的资产resourceID以及跨链资金数量与接收地址等参数构成的data。2.攻击者指定传入的resourceID为跨ETHToken所需要的值,但其调用的是QBridge的deposit函数而非depositETH函数,因此首先绕过了跨链资金数量与msg.value的检查。deposit函数会根据resourceID从映射中取出handler地址进行充值,由于攻击者传入的是真实的跨ETHToken所需要的值所以可以顺利调用handler合约的deposit函数。3.handler合约的deposit函数中会根据resourceID取出的所要充值的Token是否在白名单内进行检查,由于攻击者传入的resourceID对应ETH,因此映射中取出的所要充值的Token为0地址,即会被认为是充值ETH而通过了白名单检查。但deposit函数中却并没有对所要充值的Token地址再次进行检查,随后直接通过safeTransferFrom调用了所要充值的Token的transferFrom函数。4.由于所要充值的Token地址为0地址,而call调用无codesize的EOA地址时其执行结果都会为true且返回值为空,因此通过transferFrom的转账操作通过了safeTransferFrom的检查,最后触发了Deposit跨链充值事件。5.由于传入的resourceID为跨ETH所需要的值,因此触发的Deposit事件与真正充值ETH的事件相同,这让QBridge认为攻击者进行了ETH跨链,因此在BSC链上为攻击者铸造了大量的qXETHToken。攻击者利用此qXETH凭证耗尽了Qubit的借贷池。MistTrack分析
PeckShield:Defrost_Finance被黑客利用,损失约173,000美元:金色财经报道,PeckShield监测,Defrost_Finance被利用,导致黑客获得约173,000美元的收益。由于 flashloan()/deposit() 函数缺少可重入锁,因此黑客攻击成为可能,黑客使用该函数在不偿还的情况下借出所有 USDC。[2022/12/23 22:03:53]
慢雾AML旗下MistTrack反追踪系统分析发现,攻击者地址(0xd01...5c7)首先从Tornado.Cash提币获取初始资金,随后部署了合约,且该攻击者地址交互的地址是Qubit、PancakeSwap和Tornado.Cash合约地址。目前资金未发生进一步转移。慢雾AML将持续监控被盗资金的转移,拉黑攻击者控制的钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
SBF:加密货币会改变支付和金融结构:7月18日消息,FTX首席执行官Sam Bankman-Fried(SBF)近日在推特分享加密货币的潜在应用场景,包括支付、市场结构(指金融交易市场的结构)、社群媒体。SBF指的是,透过区块链清算和“证券代币化”,改变现在传统经纪商运作方式,让交易过程简单化,而不是架屋迭床。目前散户购买股票的流程也相当复杂。SBF认为目前社群媒体的最大问题就是“没有互操作性”。SBF指出,如果我们将文章/贴文发布在区块链上,假设是区块链推特(Blockchain-Twitter,BT),那么你在BT发文的时候,使用区块链脸书(Blockchain-Facebook,BF)的朋友也可以看到这则消息,因为BF可以自动整合区块链的数据。这还有另外一个好处,就是实现真正的竞争。[2022/7/18 2:20:14]
Cypher Capital 将向Ocean Protocol生态项目投资500万美元:5月23日消息,阿联酋风投公司Cypher Capital宣布将向数据经济协议Ocean Protocol生态项目投资500万美元。该500万美元资金将在24个月内投资于20个Ocean Protocol生态项目。[2022/5/23 3:36:09]
总结
本次攻击的主要原因在于在充值普通Token与nativeToken分开实现的情况下,在对白名单内的Token进行转账操作时未对其是否为0地址再次进行检查,导致本该通过native充值函数进行充值的操作却能顺利走通普通Token充值逻辑。慢雾安全团队建议在对充值Token进行白名单检查后仍需对充值的是否为nativeToken进行检查。参考交易:https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acfhttps://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02原地址
标签:KENTOKETOKENTOKBanana TokenUpOnly TokenNFV Tokenimtoken收的u转不出去地址权限已修改
在未来5年发展的时间内,元宇宙将在赛道上不断涌现并领跑整个科技领域。在元宇宙世界内,随着AR、VR的支持人们在元宇宙之中在工业科技,工作场景,社交等相关领域都将实现跨越时空的巨大飞跃.
1900/1/1 0:00:00本文梳理自Soundwise创始人NatashaChe在个人社交媒体平台上的观点,律动BlockBeats对其整理翻译如下:在当今的加密市场,单纯持有BTC和ETH或许并不能为你带来可观的收益.
1900/1/1 0:00:00CZ于近日做客CNA旗下的InConversation访谈节目,接受了CNA执行制片人LinXueling的采访.
1900/1/1 0:00:00Solidity语言的开发者使用情况如何?我们从400多份问卷中看到了这些。这是由Solidity官方开展的第二次结构化的年度大型Solidity开发人员调查,以Solidity语言的开发者使用.
1900/1/1 0:00:00来源:Lisk.com探索NFT领域过程中,我经常遇到的一个词是“互操作性”。互操作性——异构系统和产品无缝接口的能力,常被认为是NFT如此具有开创性的关键原因.
1900/1/1 0:00:00模块化链会是未来,而以太坊正在引领潮流,但在这个rollup范式中,我们仍然有很多问题。有哪些风险?ETH会捕获到价值吗?Layer2需要原生代币吗?可组合性如何?这一切可能会失败吗?有很多东西.
1900/1/1 0:00:00