Chain:跨鏈交易協議THORChain被攻擊事件分析_HAI

北京時間7月23日，去中心化跨鏈交易協議?THORChain(RUNE)再次遭遇攻擊，包括XRUNE在內的多種ERC20代幣受到影響，涉及損失約800萬美元。THORChain已是一個月內第三次受到攻擊，此前在7月16日遭受攻擊，損失約4000ETH；在6月29日遭受惡意攻擊，損失14萬美元。

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。

去中心化穩定幣跨鏈交易平臺EYWA將于10月底發布主網:10月25日消息，去中心化穩定幣跨鏈交易平臺EYWA宣布將于10月底發布主網，屆時支持的資產將包括USDT、USDC、DAI以及BUSD，支持的鏈將包括以太坊、BNB Chain、Arbitrum、Avalanche、Fantom以及Polygon。

EYWA將以Aurora區塊鏈將作為流動性中心，并在Aurora上托管合約。主網推出后將暫時維持較小流動性規模，以確保協議沒有漏洞，未來將增大流動性，初期僅支持用戶交易100至200美元金額的穩定幣。[2022/10/25 16:38:01]

一、事件分析

哈勃公鏈HCTP跨鏈交易協議進行功能分配:哈勃公鏈技術團隊對外宣布，基于Hubble Chain主網架構的HCTP跨鏈交易協議，開始進行關于區塊鏈跨鏈交易功能的分配。HCTP（Hubble Cross-chain Transaction Protocol）是哈勃公鏈的底層跨鏈交易技術，在其功能分配完成后，Hubble Chain 將同時支持區塊鏈之間的跨鏈轉賬，本鏈多資產的轉移，以及通過智能合約實現各種簡單或復雜的業務，賦能傳統金融行業，構建一個多元的去中心化智能金融價值網絡。[2020/6/28]

攻擊交易：https://etherscan.io/tx/0xce958939ba23771d0a0b80532c463b4cbbb175f4d14c08d9d27dd251f68a5da1

動態 | Lava已正式部署對稱式跨鏈原子交換機，可實現去中心化跨鏈交易:據官方消息，Lava已正式部署對稱式跨鏈原子交換機，可實現去中心化、無需信任的比特幣與Lava跨鏈交易。用戶不需要通過任何中介，通過交換機即可完成比特幣兌Lava交易，進一步提升了Lava交易安全性與便利性。

據悉，Lava于2019年10月16日12:00正式開源，代碼已公布至Github。Lava是完全去中心化的PoC項目，全網算力自由進出、不設限制。[2019/12/6]

圖1攻擊者攻擊THORChainRouter獲取XRUNE代幣

攻擊者調用THORChainRouter合約的transferOut函數向攻擊者轉了一筆數量為amount的代幣，代幣的類型由asset的類型來確定，轉賬的sender為THORChainRouter的合約地址。

圖2?THORChainRouter合約的TransferOut函數

圖3?通過TransferOut函數牟利Sushi幣

攻擊者之所以可以實現這樣的攻擊，是因為THORChainRouter合約的TransferOut函數漏洞導致--使用asset.call(abi.encodeWithSignature("transfer(address,uint256)",to,amount))語句進行轉賬;

圖4?YFI.sol中的transfer

圖5?FiatToken.sol中的transfer

圖6?XRUNE.sol中的transfer?

在使用call函數時，msg.sender的值為THORChainRouter地址，執行環境為被調用者的運行環境，因此會調用asset代幣合約中的transfer函數，向接收者轉出代幣。而此次攻擊者攻擊THORChainRouter合約牟利的六種代幣合約中，實現轉賬的函數均為"transfer(address,uint256)"這種形式，這也使得攻擊者有可乘之機。

Tags：ChainHAIAINCHAZK-ChainChain Wars EssencedragonchainEl Dorado Exchange

火幣下載