Ansel Lindner 是 Bitcoin & Markets 播客主持,负责研究市场与、金钱与经济。自 2011 年以来,他一直参与比特币,并创立了 Blockchain I/O 公司,以管理他的加密项目。 他还经常撰写有关区块链和比特币的各种新闻出版物。
安全团队:跨链DEX聚合器Transit Swap因任意外部调用问题被黑,被盗资金规模超2300万美元:10月2日消息,据慢雾安全团队情报,2022年10月2号跨链DEX聚合器TransitSwap项目遭到攻击,导致用户资产被非预期的转出。慢雾安全团队分析评估此次被盗资金规模超过2300万美元,黑客地址为0x75F2...FD46和0xfa71...90fb。接着对此次攻击过程进行了分析:
1. 当用户在Transit Swap进行swap时,会先通过路由代理合约(0x8785bb...)根据不同的兑换类型选择不同的路由桥合约。随后路由桥合约(0x0B4727...)会通过权限管理合约(0xeD1afC...)的 claimTokens 函数将用户待兑换的代币转入路由桥合约中。因此在代币兑换前用户需要先对权限管理合约(0xeD1afC...)进行授权。
2. 而 claimTokens 函数是通过调用指定代币合约的 transferFrom 函数进行转账的。其接收的参数都由上层路由桥合约(0x0B4727...)传入,本身没有对这些参数进行任何限制只检查了调用者必须为路由代理合约或路由桥合约。
3. 路由桥合约(0x0B4727...)在接收到用户待兑换的代币后会调用兑换合约进行具体的兑换操作,但兑换合约的地址与具体的函数调用数据都由上层路由代理合约(0x8785bb...)传入,路由桥合约并未对解析后的兑换合约地址与调用数据进行检查。
4. 而代理合约(0x8785bb...)对路由桥合约(0x0B4727...)传入的参数也都来自于用户传入的参数。且代理合约(0x8785bb...)仅是确保了用户传入的 calldata 内各数据长度是否符合预期与所调用的路由桥合约是在白名单映射中的地址,未对 calldata 数据进行具体检查。
5. 因此攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷。通过路由代理合约传入构造后的数据调用路由桥合约的 callBytes 函数。callBytes 函数解析出攻击者指定的兑换合约与兑换数据,此时兑换合约被指定为权限管理合约地址,兑换数据被指定为调用 claimTokens 函数将指定用户的代币转入攻击者指定的地址中。实现了窃取所有对权限管理合约进行授权的用户的代币。
此次攻击的主要原因在于 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查,导致了任意外部调用的问题。攻击者利用此任意外部调用问题窃取了用户对Transit Swap授权的代币。
截止到目前,黑客已将 2,500 BNB 转移到 Tornado Cash,剩余资金分散保留在黑客地址中。经过黑客痕迹分析发现,黑客存在从 LATOKEN 等平台存提款的痕迹。慢雾 MistTrack 将持续跟进被盗资金的转移以及黑客痕迹的分析。[2022/10/2 18:37:27]
Nansen CEO:Lido验证节点中近90%不在美国境内:9月16日消息,区块链数据分析平台Nansen首席执行官Alex Svanevik在Twitter上表示,在当前Lido全部130,140个验证节点中,德国占13.1%、瑞士占11.1%,美国占10.3%,近90%不在美国境内。[2022/9/16 7:01:29]
动态 | 汇款公司Transfergo启动加密货币交易:据Bitcoin.com消息,位于英国的汇款公司Transfergo的创始人兼首席执行官Daumantas Dvilinskas平均每年处理100万笔交易,讨论了该公司启动加密货币交易设施的决定。Transfergo首席执行官表示,目前,该公司正在寻求为比特币核心(BTC),比特币现金(BCH),Ripple(XRP)和Litecoin(LTC)提供支持。[2018/7/29]
标签:
上半年中俄贸易额达1145.47亿美元 近日,据中国海关总署发布的统计数据显示,2023年1-6月,中俄贸易额同比增长40.6%,达到1145.47亿美元.
1900/1/1 0:00:00许多朋友在入春后,经常感到呼吸不通畅,甚至反反复复出现皮肤过敏,咽喉问题...即使去医院也没查出端倪,部分细心的朋友一联想自己的生活环境,经过室内空气检测.
1900/1/1 0:00:00消息一、中信建投陈果:拐点明朗,港股再上台阶!中信建投陈果在研报中表示,当前困扰港股市场的流动性问题边际显著改善,后续预计港股将重拾升势。觉得港股上涨主要还是看人民币汇率的升值情况.
1900/1/1 0:00:00来源:证券时报 发行人全体董事声明 本公司及全体董事承诺本上市公告书内容不存在虚假记载、误导性陈述或重大遗漏,并对其真实性、准确性、完整性承担个别和连带的法律责任.
1900/1/1 0:00:00“杨平主动投案时只承认了自己的小部分受贿事实,对其他的违法行为有所保留,妄图蒙混过关,换一个‘从宽处理’……”日前,广西壮族自治区凤山县召开干部警示教育大会.
1900/1/1 0:00:00天风证券:科技巨头布局元宇宙 视频技术是未来核心创新:12月19日消息,天风证券副总裁、研究所所长赵晓光在12月16日第十届银华基金资产管理论坛上,对于最近大热话题元宇宙发表了最新观点.
1900/1/1 0:00:00