尊敬的用户:
BiKi平台已上线KSM/USDT永续合约交易对,并开启合有奖交易活动,详情如下:
活动时间:2021年03月30日00:00-04月05日24:00
安全团队:跨链DEX聚合器Transit Swap因任意外部调用问题被黑,被盗资金规模超2300万美元:10月2日消息,据慢雾安全团队情报,2022年10月2号跨链DEX聚合器TransitSwap项目遭到攻击,导致用户资产被非预期的转出。慢雾安全团队分析评估此次被盗资金规模超过2300万美元,黑客地址为0x75F2...FD46和0xfa71...90fb。接着对此次攻击过程进行了分析:
1. 当用户在Transit Swap进行swap时,会先通过路由代理合约(0x8785bb...)根据不同的兑换类型选择不同的路由桥合约。随后路由桥合约(0x0B4727...)会通过权限管理合约(0xeD1afC...)的 claimTokens 函数将用户待兑换的代币转入路由桥合约中。因此在代币兑换前用户需要先对权限管理合约(0xeD1afC...)进行授权。
2. 而 claimTokens 函数是通过调用指定代币合约的 transferFrom 函数进行转账的。其接收的参数都由上层路由桥合约(0x0B4727...)传入,本身没有对这些参数进行任何限制只检查了调用者必须为路由代理合约或路由桥合约。
3. 路由桥合约(0x0B4727...)在接收到用户待兑换的代币后会调用兑换合约进行具体的兑换操作,但兑换合约的地址与具体的函数调用数据都由上层路由代理合约(0x8785bb...)传入,路由桥合约并未对解析后的兑换合约地址与调用数据进行检查。
4. 而代理合约(0x8785bb...)对路由桥合约(0x0B4727...)传入的参数也都来自于用户传入的参数。且代理合约(0x8785bb...)仅是确保了用户传入的 calldata 内各数据长度是否符合预期与所调用的路由桥合约是在白名单映射中的地址,未对 calldata 数据进行具体检查。
5. 因此攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷。通过路由代理合约传入构造后的数据调用路由桥合约的 callBytes 函数。callBytes 函数解析出攻击者指定的兑换合约与兑换数据,此时兑换合约被指定为权限管理合约地址,兑换数据被指定为调用 claimTokens 函数将指定用户的代币转入攻击者指定的地址中。实现了窃取所有对权限管理合约进行授权的用户的代币。
此次攻击的主要原因在于 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查,导致了任意外部调用的问题。攻击者利用此任意外部调用问题窃取了用户对Transit Swap授权的代币。
截止到目前,黑客已将 2,500 BNB 转移到 Tornado Cash,剩余资金分散保留在黑客地址中。经过黑客痕迹分析发现,黑客存在从 LATOKEN 等平台存提款的痕迹。慢雾 MistTrack 将持续跟进被盗资金的转移以及黑客痕迹的分析。[2022/10/2 18:37:27]
活动规则:
Larry Cermak:不在相信币安,币安根据其定义拥堵的新规则任意暂停ETH/ERC20取款:TheBlock研究总监LarryCermak在推特中转发币安暂停ETH冲提的推文,Larry Cermak称,我一直在等待合适的推动力,但最后还是把我在Binance上的大部分资金撤到了FTX。在这一点上,不能再相信这家公司了,他们在用这些垃圾在自己的脚下疯狂射击。币安根据其定义拥堵的新规则任意暂停ETH / ERC20取款。早晨,gas费大约是130,现在是190。绝对是胡扯。[2021/2/20 17:32:41]
1、添加客服微信回复“KSM”进入合约社群进行参赛;
独家 | 新增合约AGC敏感函数可被任意调用 类zethr游戏山寨合约冒头:第三方大数据评级机构RatingToken最新数据显示,2018年8月10日全球共新增992个合约地址,其中270个为代币型智能合约。RatingToken安全审计团队发现,名为Angelglorycoin(AGC)的新增合约由于构造函数违反规范,没有与合约同名,使得该函数可以被任意调用,从而造成权限泄露。这意味着任何人都有可能获得全部发行的代币。该合约共存在19项安全风险,安全检测得分仅3.2。除此之外,还出现了zethr的类似合约ZDC,近期zethr交易量巨大,山寨合约开始冒头。如需查看更多智能合约检测结果,请查看原文链接。[2018/8/12]
2、交易KSM/USDT交易对,累计开仓、平仓≥500张;
3、按照盈利金额进行排名,盈利前20名可获取奖励如下:
备注:
1、以上活动所有用户默认参赛,无需报名;
2、任何通过批量刷注册、任务平台等不正当方式参与活动均视为无效,成绩及奖励将作废;
3、活动奖励将于2021年04月10日24:00之前完成发放;
4、活动最终解释权归BiKi平台所有,活动内容请以官网公告为准;
5、单个UID仅可获得一次奖励。
]
感谢您对BiKi平台的支持,BiKi团队期待您的宝贵意见。
BiKi团队
2021-03-30
标签:TRAKENTOKENTOKsmartcontractschemecoinAlfa Romeo Racing ORLEN Fan TokenDCC TokenPlant vs Undead Token
消息面:1、CryptoQuant数据显示,所有交易所的稳定币持有总量创历史新高,现在已经超过100亿美元.
1900/1/1 0:00:00美国再度大放水之后,市场情绪明显修复,链上数据也表现出多头的强势。BTC持币地址数企稳回升,DeFi中BTC锁仓量净增加2734枚,矿工抛售量明显下降,BTC资金费率出现明显上涨,资金做多情绪浓.
1900/1/1 0:00:00相信所有的加密币投资者都非常关心BTC的价格为什么会涨?又为什么会跌?如何提前预知?今天KingData教大家通过观察交易所资金流向数据,解析价格涨跌的因果关系.
1900/1/1 0:00:00专业独立客观审慎,参与实战交易,具有丰富临盘经验。团队长期专注指导以太坊、比特币,擅长趋势交易,对资金规划、仓位管理及风险控制有丰富经验,准确率长期稳定在80%,欢迎免费实时跟单体验,不额外收取.
1900/1/1 0:00:00上周,美联储主席鲍威尔看低加密货币的论调,使得比特币从近6万美元的高位,一度跌至50000美元附近.
1900/1/1 0:00:003月30日16:00—4月6日16:00我们将开启GraphLinqProtocol(GLQ)超级空投福利,$30,000美元GLQ等你来拿!新用户请点击注册并参与活动.
1900/1/1 0:00:00
木星链