據慢霧區情報,2022年01月28日,Qubit項目的QBridge遭受攻擊,損失約8000萬美金。慢霧安全團隊進行分析后以簡析的形式分享給大家。
簡要分析
1.攻擊者通過ETH上的QBridge合約進行存款操作,存款時傳入所要跨的目標鏈destinationDomainID、所要跨鏈的資產resourceID以及跨鏈資金數量與接收地址等參數構成的data。2.攻擊者指定傳入的resourceID為跨ETHToken所需要的值,但其調用的是QBridge的deposit函數而非depositETH函數,因此首先繞過了跨鏈資金數量與msg.value的檢查。deposit函數會根據resourceID從映射中取出handler地址進行充值,由于攻擊者傳入的是真實的跨ETHToken所需要的值所以可以順利調用handler合約的deposit函數。3.handler合約的deposit函數中會根據resourceID取出的所要充值的Token是否在白名單內進行檢查,由于攻擊者傳入的resourceID對應ETH,因此映射中取出的所要充值的Token為0地址,即會被認為是充值ETH而通過了白名單檢查。但deposit函數中卻并沒有對所要充值的Token地址再次進行檢查,隨后直接通過safeTransferFrom調用了所要充值的Token的transferFrom函數。4.由于所要充值的Token地址為0地址,而call調用無codesize的EOA地址時其執行結果都會為true且返回值為空,因此通過transferFrom的轉賬操作通過了safeTransferFrom的檢查,最后觸發了Deposit跨鏈充值事件。5.由于傳入的resourceID為跨ETH所需要的值,因此觸發的Deposit事件與真正充值ETH的事件相同,這讓QBridge認為攻擊者進行了ETH跨鏈,因此在BSC鏈上為攻擊者鑄造了大量的qXETHToken。攻擊者利用此qXETH憑證耗盡了Qubit的借貸池。MistTrack分析
中辦、國辦:加快推進區塊鏈等在醫療衛生領域中的應用:3月23日消息,中辦、國辦:發展“互聯網+醫療健康”,建設面向醫療領域的工業互聯網平臺,加快推進互聯網、區塊鏈、物聯網、人工智能、云計算、大數據等在醫療衛生領域中的應用,加強健康醫療大數據共享交換與保障體系建設。(同花順)[2023/3/23 13:22:13]
慢霧AML旗下MistTrack反洗錢追蹤系統分析發現,攻擊者地址(0xd01...5c7)首先從Tornado.Cash提幣獲取初始資金,隨后部署了合約,且該攻擊者地址交互的地址是Qubit、PancakeSwap和Tornado.Cash合約地址。目前資金未發生進一步轉移。慢霧AML將持續監控被盜資金的轉移,拉黑攻擊者控制的錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。
比特幣全網未確認交易數量為15365筆:金色財經報道,據BTC.com數據顯示,目前比特幣全網未確認交易數量為15365筆,全網算力為301.93 EH/s,24小時交易速率為4.23交易/s,目前全網難度為43.05 T,預測下次難度下調0.71%至42.75 T,距離調整還剩9天13小時。[2023/3/2 12:37:27]
總結
本次攻擊的主要原因在于在充值普通Token與nativeToken分開實現的情況下,在對白名單內的Token進行轉賬操作時未對其是否為0地址再次進行檢查,導致本該通過native充值函數進行充值的操作卻能順利走通普通Token充值邏輯。慢霧安全團隊建議在對充值Token進行白名單檢查后仍需對充值的是否為nativeToken進行檢查。參考交易:https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acfhttps://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02原地址
FTX 債務人將尋求歸還巴哈馬監管機構持有的加密貨幣:金色財經報道,FTX Trading及其附屬債務人周五表示,他們將尋求將巴哈馬證券委員會控制的加密貨幣歸還給他們的第11章財產,以利于債權人。
巴哈馬證券委員會周四表示,自11月12日以來,它一直掌握著價值超過35億美元的FTX客戶資產。FTX債務人稱,這些資金是在FTX前CEO SBF 和前CTO Gary Wang在巴哈馬當地政府的要求下,在破產程序啟動后轉移的。
債務人表示,由巴哈馬監管機構控制的Fireblocks錢包中的加密貨幣的價值在最初被轉移時按現貨市場價格計算為2.96億美元,目前價值1.67億美元。(The Block)[2022/12/31 22:17:56]
Tags:KENTOKETOKENTOKLien Tokenimtoken官網appViaBTC TokenMuzzleToken
在80年代,基于文本的MUD游戲占據了主導地位。冒險家們喜歡多人實時角色扮演游戲,這些角色扮演游戲具有豐富的知識、奇幻世界、令人信服的機制和基于RNG的游戲玩法,并帶有P2P元素,這聽起來有點像.
1900/1/1 0:00:00當我們第一次使用某個中心化社交媒體平臺,在注冊時通常會有以下步驟:關注名人列表、感興趣的話題以及同步手機聯系人或Facebook以查找可能認識的朋友等.
1900/1/1 0:00:00DataSource:GameFiinPolygon1月份,SunflowerFarmers以450.94K的用戶量一度成為Polygon上排名第一的游戲.
1900/1/1 0:00:00相比傳統Web2游戲,區塊鏈游戲主打的愿景是游戲內資產可以通過NFT技術真正歸玩家所有。玩家在游戲中投入時間、金錢和情感所獲得的人物皮膚、裝備、武器、成就和戰利品等游戲內資產可以追蹤過往歷史、贈.
1900/1/1 0:00:00注:當Metaverse邂逅DeFi,會產生怎樣的火花?這是OutlierVentures對MetaFi這個新概念全面分析解讀的報告.
1900/1/1 0:00:00那么我們該怎么做呢?要在您的瀏覽器中呈現它,然后需要復制“字符串”之后的所有內容并將其粘貼到我們的瀏覽器中.
1900/1/1 0:00:00