KEN:詳解Qubit項目QBridge被黑始末：不翼而飛的8000萬美元_imtoken幣莫名被轉走

據慢霧區情報，2022年01月28日，Qubit項目的QBridge遭受攻擊，損失約8000萬美金。慢霧安全團隊進行分析后以簡析的形式分享給大家。

簡要分析

1.攻擊者通過ETH上的QBridge合約進行存款操作，存款時傳入所要跨的目標鏈destinationDomainID、所要跨鏈的資產resourceID以及跨鏈資金數量與接收地址等參數構成的data。

2.攻擊者指定傳入的resourceID為跨ETHToken所需要的值，但其調用的是QBridge的deposit函數而非depositETH函數，因此首先繞過了跨鏈資金數量與msg.value的檢查。deposit函數會根據resourceID從映射中取出handler地址進行充值，由于攻擊者傳入的是真實的跨ETHToken所需要的值所以可以順利調用handler合約的deposit函數。

《財富》雜志發布首個“Crypto 40”榜單，包括NFT、DeFi等8個類別:4月11日消息，《財富》雜志近日發布首個“Fortune Crypto 40”榜單，以對“最重要的加密公司”進行排名。Crypto 40由八個類別組成，即TradFi、CeFi、NFT、風險投資（VC）、數據、基礎設施、協議和DeFi，每個類別都有五家公司，其中：

- 入圍TradFi類別的公司有PayPal、Robinhood、JPMorgan Chase（摩根大通）、Fidelity（富達）和Visa；

- 入圍CeFi類別的公司有Coinbase、幣安、Kraken、Galaxy Digital和Circle；

- 入圍VC類別的公司有Polychain Capital、Animoca Brand、Andreessen Horowitz（a16z）、Pantera Capital和Blockchain Capital；

- 入圍NFT類別的公司有OpenSea、Yuga Labs、Sky Mavis、Art Blocks和RTFKT（Nike）；

- 入圍Data類別的公司有Chainalysis、Coin Metrics、The Graph、Dune和Messari；

- 入圍基礎設施類別的公司有Ledger、Genesis Digital Assets、Bitmain、Alchemy和Moonpay；

- 入圍DeFi類別的公司有Uniswap Labs、Lido、MakerDAO、Aave和Curve；

- 入圍協議類別的項目有Ethereum Foundation、Bitcoin、Polygon Labs、Solana Foundation、Offchain Labs（Arbitrum）。[2023/4/11 13:56:18]

3.handler合約的deposit函數中會根據resourceID取出的所要充值的Token是否在白名單內進行檢查，由于攻擊者傳入的resourceID對應ETH，因此映射中取出的所要充值的Token為0地址，即會被認為是充值ETH而通過了白名單檢查。但deposit函數中卻并沒有對所要充值的Token地址再次進行檢查，隨后直接通過safeTransferFrom調用了所要充值的Token的transferFrom函數。

某巨鯨地址于3小時前將519萬枚MATIC轉入Binance:3月27日消息，據SpotOnChain數據顯示，某0x386開頭巨鯨地址于3小時前將其519萬枚MATIC轉移至Binance平臺，價值約合568萬美元。據悉，該巨鯨地址于2022年11月6日從Binance處提幣509萬枚MATIC至鏈上并進行質押，當時價格為1.137美元，此后于4天前取消質押。若該用戶今日以當前價格出售（1.09美元），該筆交易將虧損約17萬美元。[2023/3/27 13:28:54]

4.由于所要充值的Token地址為0地址，而call調用無codesize的EOA地址時其執行結果都會為true且返回值為空，因此通過transferFrom的轉賬操作通過了safeTransferFrom的檢查，最后觸發了Deposit跨鏈充值事件。

特拉華州法官：參議員致信法庭不會影響FTX的司法裁決:金色財經報道，特拉華州法官約翰多爾西周三在法庭聽證會上表示，來自四名美國參議員的兩黨信件是對FTX破產程序的“不恰當”干預，但不會影響司法裁決。這封來自 John Hickenlooper (D-Colo.)、Thom Tillis (RN.C.)、Elizabeth Warren (D-Mass.) 和 Cynthia Lummis (R-Wyo.) 的信函對律師事務所 Sullivan & Cromwell 是否有能力公正地代表這家加密貨幣公司的新高管提出質疑并呼吁任命一名獨立審查員進行調查FTX破產案件。[2023/1/11 11:06:51]

5.由于傳入的resourceID為跨ETH所需要的值，因此觸發的Deposit事件與真正充值ETH的事件相同，這讓QBridge認為攻擊者進行了ETH跨鏈，因此在BSC鏈上為攻擊者鑄造了大量的qXETHToken。攻擊者利用此qXETH憑證耗盡了Qubit的借貸池。

MistTrack分析

慢霧AML旗下?MistTrack反洗錢追蹤系統分析發現，攻擊者地址(0xd01...5c7)首先從Tornado.Cash提幣獲取初始資金，隨后部署了合約，且該攻擊者地址交互的地址是Qubit、PancakeSwap和Tornado.Cash合約地址。目前資金未發生進一步轉移。慢霧AML將持續監控被盜資金的轉移，拉黑攻擊者控制的錢包地址，提醒交易所、錢包注意加強地址監控，避免相關惡意資金流入平臺。

總結

本次攻擊的主要原因在于在充值普通Token與nativeToken分開實現的情況下，在對白名單內的Token進行轉賬操作時未對其是否為0地址再次進行檢查，導致本該通過native充值函數進行充值的操作卻能順利走通普通Token充值邏輯。慢霧安全團隊建議在對充值Token進行白名單檢查后仍需對充值的是否為nativeToken進行檢查。

參考交易：

https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acf

https://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02

原文鏈接

Tags：KENTOKTOKENETHaskchaintokenCustody Tokenimtoken幣莫名被轉走ETHSTK

KuCoin