木星链 木星链
Ctrl+D收藏木星链
首页 > 火必下载 > 正文

ETH:合约授权的风险:Transit Swap 被盗约2100万美元事件分析

作者:

时间:1900/1/1 0:00:00

2022年10月2日,据成都链安鹰眼-区块链安全态势感知平台舆情监测显示,TransitSwap项目遭受攻击,被盗约2100万美元。关于本次事件,成都链安安全团队第一时间进行了分析。

首先在今早发现被盗后,TransitSwap技术团队紧急暂停服务,无法进行任何操作,很多用户也在社交平台纷纷表示自己钱包的资产被盗。

据悉,本次事件的主角TransitSwap是某加密钱包下的闪兑交易平台。

数据:以太坊2.0存款合约中ETH总价值创历史新高:1月1日消息,据Glassnode数据显示,以太坊2.0存款合约中的ETH总价值达到8,840,306 ETH,创历史新高。[2022/1/1 8:19:10]

首先我们需要知道什么是闪兑?

很多加密钱包出了闪兑功能,之所以叫这个名字主要就是因为不同数字货币之间的交易速度很快,因为闪兑不需要像交易所那样来撮合买方和卖方之间的订单,闪兑更像是柜台交易,就像去银行拿美元兑换人民币,在汇率已知的情况下,给多少美元,银行就会根据汇率兑换给你相应数量的人民币。

闪兑除了兑换交易速度快之外,还有一些其他的功能,这也是很多用户使用它的原因。

下面,我们回到本次事件技术层面来分析。

BSC链上的攻击交易:

现场丨Nervos 基金会联合发起人&COO吕国宁:参与ETH2.0质押合约需要长期的信仰:金色财经现场报道,11月20日,由金色财经主办,Blocklike,鲸交所,四块科技,DSFS-LABS协办的金色沙龙第57期在杭州举办,Nervos 基金会联合发起人&COO吕国宁表示,以太坊社区自下而上都希望大家参与ETH2.0质押合约,但真正能够参与的人确实是少数。以太坊价格的波动会导致成本的增加,投入服务器、长期维持节点的时间和成本,都会成为压力。投资者参与前,需要做好长期准备,期间会有非常多的风险和不确定性,对以太坊坚定的信仰将会成为最好的支撑。[2020/11/20 21:28:58]

https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189

24小时合约市场爆仓超2238万美元:据合约帝行情统计报告显示:过去24小时合约市场全网总计爆仓2238万美元,爆仓人数2278人。其中,Huobi爆仓863万美元,OKEx爆仓592万美元,BitMEX爆仓371万美元,Binance爆仓413万美元。爆仓金额前三的币种是BTC1253万美元,BSV481万美元,ETH252万美元。[2020/7/20]

以太坊上的攻击交易:

https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7

用户进行swap兑换时,正常流程是先通过TransitCrossRouterv3合约选择路由合约,随后通过TransitSwap&CrossApproveProxy合约进行权限验证后,调用claimTokens函数将用户兑换的token转入路由合约中。而TransitSwap合约实现时,上述三个合约均未对用户输入数据进行正确的验证,导致攻击者可以构造出任意指定的兑换数据calldata,其中可以将授权过的用户的代币转入攻击者指定的任意地址之中。

分析 | BTC合约多空持仓人数比高达1.45:根据OKEx合约大数据显示,目前BTC合约多空持仓人数比为1.45,季度合约基差122.31美元,永续合约基差7.36美元;BTC合约持仓总量8,369,236张,24h交易量15,341,836张;主动买入量148,516张,主动卖出量137,564张;精英账户做多账户比50%,多头持仓比24.27%,做空账户比48%,空头持仓比19.24%。

分析师表示,多空持仓人数比高达1.45,代表散户看多情绪再次高涨,持仓总量继续维持高位,24h交易量回落,行情回落放缓,但季度合约基差继续放大,行情仍然可能大幅波动,BTC合约精英持仓方面,精英多头持仓比再次反超空头,多头情绪稍微占优。[2019/9/9]

这个合约未对下面的calldata进行验证,解析后为下图的input,里面指定了收款人为攻击者地址。

攻击者就通过这种方式,共获利约2100万美元。随后将资金归集到获利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,

但是项目方依然没有放弃,随后TransitSwap官方发布公告称,目前已确定黑客IP、电子邮件地址,以及相关的链上地址。TransitSwap团队表示将尽力追踪黑客,并尝试与黑客沟通,帮助用户挽回损失。

随着事件的影响力扩大,攻击者似乎也知道真实身份难保。也可能是被项目方“感化”,这位攻击者决定退回盗取的资产。

截止发稿前,目前攻击者已将BNB链上的37,000BNB和1500ETH,以太坊上的3,180ETH归还给项目方。2500BNB被转移到Tornado.Cash,剩余的12,612BNB仍在攻击者地址上,价值约356万美元。成都链安链必追-虚拟货币案件智能研判平台正在对被盗资金进行实时追踪。

从本次事件,我们可以看到,合约授权依然潜藏着诸多风险。

来源:成都链安

标签:ETHNSITRANSTRAAETH币nSights DeFi TraderTranslatixPolkatrain

火必下载热门资讯
元宇宙:各地政府元宇宙抢人大战:或给2亿补贴 或给千万安家费

作者:杨郑君全国超过30个省市颁布元宇宙支持性政策,11个省出台元宇宙专项政策19个。今年以来,国内各地政府纷纷发力,出台元宇宙支持性政策和专项政策,以支持元宇宙产业在本地的快速发展.

1900/1/1 0:00:00
元宇宙:香港理工大学开设区块链技术理学硕士和元宇宙科技理学硕士学位

10月10日消息,香港理工大学官网显示,香港理工大学开设区块链技术理学硕士和元宇宙科技理学硕士学位。两个学位的入学时间均为2023年9月。区块链技术理学硕士课程是香港首个区块链技术理学硕士.

1900/1/1 0:00:00
DAO:监管层终于对DAO下手了 链上治理算违法吗?

原文作者:WillPapper,Syndicate创始人原文编译:0x9F,BlockBeats昨日,美国商品期货交易委员会在美国加州北区地方法院对Ooki协议运营组织OokiDAO提起诉讼.

1900/1/1 0:00:00
加密货币:三分钟读懂 PID:Web3 世界的护照

撰文:PaulVeradittakit,PanteraCapital合伙人编译:Amber,ForesightNews2021年,中心化加密货币交易所的总交易量超过了14万亿美元.

1900/1/1 0:00:00
元宇宙:90后董事长以自己为原型办“元宇宙婚礼”

接替父亲职位5个月后,中青宝90后董事长办了一场“元宇宙婚礼”,还是以自己的婚礼为原型。10月8日,上市公司中青宝发布了一款名为“MetaLove元囍”的产品,称其是“国内首个线上线下虚实梦幻联.

1900/1/1 0:00:00
EFI:DeFi 理论:贷款与借款

银行会怎样?亲爱的读者:我们的上一份报告提出了一个涵盖5个深度主题的观点,指出在未来几年内DeFi产品和服务的广泛采用。本周我们将把重点放在DeFi借/贷这一部分.

1900/1/1 0:00:00