加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > PEPE幣 > Info

詳解Qubit項目QBridge被黑始末:不翼而飛的8000萬美元_TOK:Oscar Token

Author:

Time:1900/1/1 0:00:00

據慢霧區情報,2022年01月28日,Qubit項目的QBridge遭受攻擊,損失約8000萬美金。慢霧安全團隊進行分析后以簡析的形式分享給大家。

簡要分析

1.攻擊者通過ETH上的QBridge合約進行存款操作,存款時傳入所要跨的目標鏈destinationDomainID、所要跨鏈的資產resourceID以及跨鏈資金數量與接收地址等參數構成的data。

2.攻擊者指定傳入的resourceID為跨ETHToken所需要的值,但其調用的是QBridge的deposit函數而非depositETH函數,因此首先繞過了跨鏈資金數量與msg.value的檢查。deposit函數會根據resourceID從映射中取出handler地址進行充值,由于攻擊者傳入的是真實的跨ETHToken所需要的值所以可以順利調用handler合約的deposit函數。

X(原推特)已獲得美國密西西比州支付匯款許可證:9月6日消息,X(原推特)已獲得美國密西西比州支付服務匯款許可證。據悉,X一直在尋求進入美國支付行業的監管許可,該社交媒體巨頭正在開發軟件,目標是最終在其平臺上實現支付。

自此X公司已在美國獲得八個州的支付監管許可,除密西西比州外,還有亞利桑那州、格魯吉亞、馬里蘭州、密歇根州、新罕布什爾州、密蘇里州和羅德島州。[2023/9/6 13:20:30]

3.handler合約的deposit函數中會根據resourceID取出的所要充值的Token是否在白名單內進行檢查,由于攻擊者傳入的resourceID對應ETH,因此映射中取出的所要充值的Token為0地址,即會被認為是充值ETH而通過了白名單檢查。但deposit函數中卻并沒有對所要充值的Token地址再次進行檢查,隨后直接通過safeTransferFrom調用了所要充值的Token的transferFrom函數。

數據:近3天超2億枚USDT在3pool池中被賣出,USDT傾斜比例達54%:6月15日消息,據0xScope Protocol監測,過去24小時,共9900萬枚USDT在3pool池中售出,導致了6440萬美元的凈流出量。而過去3天,共2.05億枚USDT在3pool池中被售出,導致了1.3億美元的凈流出量,目前3pool池中USDT的傾斜比例達54%。[2023/6/15 21:38:52]

4.由于所要充值的Token地址為0地址,而call調用無codesize的EOA地址時其執行結果都會為true且返回值為空,因此通過transferFrom的轉賬操作通過了safeTransferFrom的檢查,最后觸發了Deposit跨鏈充值事件。

數據:LayerZero在4月份已完成545萬筆交易,環比增長約810%:金色財經報道,據@CryptoKoryo&@mmyevyn的Dune數據面板,LayerZero在4月份已完成了545萬筆交易,環比增長約810%,4月日均交互18.7萬筆。據悉,當前約有122萬地址與LayerZero協議交互過,其中59.7%的地址僅完成1-5筆交易,70%的地址交互獨立月為1個月。[2023/4/30 14:35:04]

5.由于傳入的resourceID為跨ETH所需要的值,因此觸發的Deposit事件與真正充值ETH的事件相同,這讓QBridge認為攻擊者進行了ETH跨鏈,因此在BSC鏈上為攻擊者鑄造了大量的qXETHToken。攻擊者利用此qXETH憑證耗盡了Qubit的借貸池。

MistTrack分析

慢霧AML旗下?MistTrack反洗錢追蹤系統分析發現,攻擊者地址(0xd01...5c7)首先從Tornado.Cash提幣獲取初始資金,隨后部署了合約,且該攻擊者地址交互的地址是Qubit、PancakeSwap和Tornado.Cash合約地址。目前資金未發生進一步轉移。慢霧AML將持續監控被盜資金的轉移,拉黑攻擊者控制的錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。

總結

本次攻擊的主要原因在于在充值普通Token與nativeToken分開實現的情況下,在對白名單內的Token進行轉賬操作時未對其是否為0地址再次進行檢查,導致本該通過native充值函數進行充值的操作卻能順利走通普通Token充值邏輯。慢霧安全團隊建議在對充值Token進行白名單檢查后仍需對充值的是否為nativeToken進行檢查。

參考交易:

https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acf

https://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02

原文鏈接

Tags:TOKTOKETOKENKENXDEFI Governance TokenLINKS TokenSHILL TokenOscar Token

PEPE幣
2022/2/8 天天空投發紅包中獎名單_加密貨幣:TER

尊敬的WEEX用戶您好!新春虎年行大運萬元紅包等你拿 活動五:天天空投發紅包 活動方式: 活動期間每天抽出10位有完成合約交易的用戶隨機送8、18、38、68、88USDT,不限幣種金額.

1900/1/1 0:00:00
ZT創新板即將上線JUSTICE_STI:ice幣官網

親愛的ZT用戶: ZT創新板即將上線JUSTICE,並開啟JUSTICE/USDT交易對。具體上線時間如下:交易:2022年2月6日17:00; JUSTICE 項目簡介:AssangeDAO致.

1900/1/1 0:00:00
關於Hotcoin開放ZKP交易的公告_COI:OIN

尊敬的用戶:Hotcoin將於(GMT8)2022年2月8日17:00開放ZKP/USDT交易業務.

1900/1/1 0:00:00
美國國會議員也愛Crypto?一文帶你了解他們手里都有哪些加密貨幣?_加密貨幣:加密貨幣市場規模分析

原文作者:胖花花,律動BlockBeats過去的1年里是加密貨幣世界第一次正式走進國會議員的世界.

1900/1/1 0:00:00
去中心化發展的下一步是DGP?_GAZ:DGPayment

DGP是去中心化丹dan保平臺的簡稱,什么是去中心化dan保平臺?2021年DeFi,元宇宙,NFT蓬勃發展,GAZ英國基金會結合當下理念,發現實現世界與元宇宙交互需要一個必然通道.

1900/1/1 0:00:00
Gate.io HODL & Earn: Lock ASTR To Earn 100% APR(Phase 2)

TheLockASTR&Earn#2(term14days)willlaunchat8:00UTConFeb13atGate.io''s“HODL&Earn”section.

1900/1/1 0:00:00
ads