區塊鏈安全機構慢霧MistTrack對TransitSwap事件資金轉移進行跟進分析,分析顯示攻擊者轉移到TornadoCash的資金超過600萬美元。分析如下:
Hacker#1攻擊黑客,獲利金額:約2410萬美元
1:0x75F2...FFD46
2:0xfa71...90fb
已歸還超1890萬美元的被盜資金;12,500BNB存款到TornadoCash;約1400萬MOONEY代幣和67,709DAI代幣轉入ShibaSwap:BONEToken合約地址。
慢霧:近期出現假冒UniSat的釣魚網站,請勿交互:5月13日消息,慢霧首席信息安全官 @IM_23pds 在社交媒體上發文表示,近期有假冒比特幣銘文錢包及交易市場平臺 UniSat 的釣魚網站出現,經慢霧分析,假網站有明顯的傳統針對 ETH、NFT 釣魚團伙的作案特征,或因近期 BRC-20 領域火熱故轉而制作有關該領域的釣魚網站,請用戶注意風險,謹慎辨別。[2023/5/13 15:01:11]
Hacker#2套利機器人-1,獲利金額:1,166,882.07BUSD
慢霧:DOD合約中的BUSD代幣被非預期取出,主要是DOD低價情況下與合約鎖定的BUSD將產生套利空間:據慢霧區情報,2022 年 3 月 10 日, BSC 鏈上的 DOD 項目中鎖定的 BUSD 代幣被非預期的取出。慢霧安全團隊進行分析原因如下:
1. DOD 項目使用了一種特定的鎖倉機制,當 DOD 合約中 BUSD 數量大于 99,999,000 或 DOD 銷毀數量超過 99,999,000,000,000 或 DOD 總供應量低于 1,000,000,000 時將觸發 DOD 合約解鎖,若不滿足以上條件,DOD 合約也將在五年后自動解鎖。DOD 合約解鎖后的情況下,用戶向 DOD 合約中轉入指定數量的 DOD 代幣后將獲取該數量 1/10 的 BUSD 代幣,即轉入的 DOD 代幣數量越多獲得的 BUSD 也越多。
2. 但由于 DOD 代幣價格較低,惡意用戶使用了 2.8 個 BNB 即兌換出 99,990,000 個 DOD。
3. 隨后從各個池子中閃電貸借出大量的 BUSD 轉入 DOD 合約中,以滿足合約中 BUSD 數量大于 99,999,000 的解鎖條件。
4. 之后只需要調用 DOD 合約中的 swap 函數,將持有的 DOD 代幣轉入 DOD 合約中,既可取出 1/10 轉入數量的 BUSD 代幣。
5. 因此 DOD 合約中的 BUSD 代幣被非預期的取出。
本次 DOD 合約中的 BUSD 代幣被非預期取出的主要原因在于項目方并未考慮到 DOD 低價情況下與合約中鎖定的 BUSD 將產生套利空間。慢霧安全團隊建議在進行經濟模型設計時應充分考慮各方面因素帶來的影響。[2022/3/10 13:48:45]
0xcfb0...7ac7(BSC)
慢霧:Titano Finance被黑因池子被設置成惡意PrizeStrategy合約造成后續利用:據慢霧區情報消息,2月14日,BSC鏈上的Titano Finance項目遭受攻擊,損失約190萬美元,最初獲利地址為0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑資金已被攻擊者轉移到其他23個錢包。該攻擊主要由于owner角色可以任意設置setPrizeStrategy函數,導致了池子被設置成惡意的PrizeStrategy合約造成后續利用。[2022/2/14 9:51:14]
保留在獲利地址中,未進一步轉移。
Hacker#3攻擊模仿者-1,獲利金額:356,690.71USDT
0x87be...3c4c(BSC)
USDT通過Synapse、PancakeSwap和1inch等工具跨鏈或多次兌換其他代幣。最終10,005.3USDC存款到Aztec;13,745.37USDC存款到eXch;0.2626BTC使用WasabiCoinjoin混幣;0.462BTC存款到FixedFloat;3,797.94BUSD存款到ChangeNOW;1,125.2BNB存款到TornadoCash。
Hacker#4套利機器人-2,獲利金額:246,757.31USDT
0x0000...4922(BSC)
已全部追回。
Hacker#5套利機器人-3,獲利金額:584,801.17USDC
0xcc3d...ae7d(BSC)
USDC全部轉移至新地址0x8960...8525,后無進一步轉移。
Hacker#6攻擊模仿者-2,獲利金額:2,348,967.9USDT
0x6e60...c5ea(BSC)
USDT通過PancakeSwap、AnySwap(Multichain)等工具跨鏈或多次兌換其他代幣。最終5,565.8BNB存款到TornadoCash;630.4ETH存款到TornadoCash。
Hacker#7套利機器人-4,獲利金額:5,974.52UNI、1,667.36MANA
0x6C6B...364e(ETH)
通過Uniswap兌換為30.17ETH,其中0.71支付給Flashbots,剩余ETH未進一步轉移。
慢霧MistTrack將持續跟進此次事件,對相關地址進行監控以及進一步的黑客畫像分析。
據BeosinEagleEyeWeb3安全預警與監控平臺監測顯示,QANplatform跨鏈橋項目遭受黑客攻擊.
1900/1/1 0:00:00印度中央銀行印度儲備銀行(RBI)發布了一份50頁的概念說明,用于在該國引入中央銀行數字貨幣(CBDC).
1900/1/1 0:00:00據CoinDesk報道,去中心化借貸協議TrueFi在周日的一份聲明中表示,韓國區塊鏈投資公司BlockwaterTechnologies拖欠了該公司一筆貸款.
1900/1/1 0:00:00據SportsBusinessJournal報道,美國票務網站巨頭Ticketmaster正在利用DapperLabs的Flow區塊鏈以NFT形式發布門票.
1900/1/1 0:00:00據MoneyToday報道,韓國金融當局對“釜山市為建立數字資產交易所而為合作方提供特別監管支持”表明了“反對”立場.
1900/1/1 0:00:00跨鏈互操作性協議Nomad更新恢復情況,目前正處于8月發布的恢復計劃的第二階段,設計工作已經完成,智能合約審計已于本周啟動。Nomad預計審核需大約一個月的時間.
1900/1/1 0:00:00