比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > SOL > Info

RAN:合約授權的風險:Transit Swap 被盜約2100萬美元事件分析_SWAP

Author:

Time:1900/1/1 0:00:00

2022年10月2日,據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示,TransitSwap項目遭受攻擊,被盜約2100萬美元。關于本次事件,成都鏈安安全團隊第一時間進行了分析。

首先在今早發現被盜后,TransitSwap技術團隊緊急暫停服務,無法進行任何操作,很多用戶也在社交平臺紛紛表示自己錢包的資產被盜。

據悉,本次事件的主角TransitSwap是某加密錢包下的閃兌交易平臺。

Fairyproof CEO:合約的安全問題將延伸到NFT領域:3月19日,元宇宙國際高峰論壇在海口舉辦,Fairyproof CEO 譚粵飛就無法篡改、部署和執行不可逆以及開源這三方面科普了為什么審計在智能合約的安全性中起著關鍵作用;并介紹了如何利用人工智能和大數據技術支持合約的自動審計,可疑交易的自動追蹤和識別。此外,譚粵飛還指出合約的安全問題及典型的攻擊手法不僅存在于DeFi領域,還將延伸到NFT領域及整個元宇宙的合約實現。因此合約審計將是系統上保證元宇宙安全,保障元宇宙資產的關鍵環節。[2022/3/19 14:06:47]

首先我們需要知道什么是閃兌?

CME比特幣期貨2月合約收報37915美元:金色財經報道,成交量最高的CME比特幣期貨2021年2月合約今日收漲525美元,收報37915美元。2021年3月、4月及5月合約分別收報38310美元、38735美元和39155美元。[2021/2/5 18:56:27]

很多加密錢包出了閃兌功能,之所以叫這個名字主要就是因為不同數字貨幣之間的交易速度很快,因為閃兌不需要像交易所那樣來撮合買方和賣方之間的訂單,閃兌更像是柜臺交易,就像去銀行拿美元兌換人民幣,在匯率已知的情況下,給多少美元,銀行就會根據匯率兌換給你相應數量的人民幣。

閃兌除了兌換交易速度快之外,還有一些其他的功能,這也是很多用戶使用它的原因。

58COIN交割合約24H行情9:00播報:截至9:00,據58COIN交割合約行情:

BTC合約現報價11273.89美元,較現貨貼水22.56美元,24h漲跌幅-1.80%。成交量3439.72萬手,成交額77517.24萬美元,當前持倉總量131.80萬手,較上一交易日變化-14.61萬手。

EOS合約現報價2.53美元,較現貨貼水0.0052美元,24h漲跌幅-2.88%。成交量166.98萬手,成交額845.61萬美元,當前持倉總量315.30萬手,較上一交易日變化-8.47萬手。

ETH合約現報價363.67美元,較現貨貼水0.90美元,24h漲跌幅-3.58%。成交量509.74萬手,成交額9355.68萬美元,當前持倉總量115.15萬手,較上一交易日變化11.71萬手。[2020/10/17]

下面,我們回到本次事件技術層面來分析。

動態 | 安永推出代幣和智能合約公開測試版:安永(EY)今日推出代幣和智能合約公開測試版。該測試版允許用戶粘貼代碼進行分析,在此期間,它可以通過測試智能合約的功能和效率以及評估編碼質量來識別安全風險。當前,該服務只能審閱以Solidity編程語言編寫的基于ERC-20的智能合約。安永并未透露未來是否計劃擴展對其他區塊鏈協議的支持。(Coindesk)[2019/12/18]

BSC鏈上的攻擊交易:

https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189

以太坊上的攻擊交易:

https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7

用戶進行swap兌換時,正常流程是先通過TransitCrossRouterv3合約選擇路由合約,隨后通過TransitSwap&CrossApproveProxy合約進行權限驗證后,調用claimTokens函數將用戶兌換的token轉入路由合約中。而TransitSwap合約實現時,上述三個合約均未對用戶輸入數據進行正確的驗證,導致攻擊者可以構造出任意指定的兌換數據calldata,其中可以將授權過的用戶的代幣轉入攻擊者指定的任意地址之中。

這個合約未對下面的calldata進行驗證,解析后為下圖的input,里面指定了收款人為攻擊者地址。

攻擊者就通過這種方式,共獲利約2100萬美元。隨后將資金歸集到獲利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,

但是項目方依然沒有放棄,隨后TransitSwap官方發布公告稱,目前已確定黑客IP、電子郵件地址,以及相關的鏈上地址。TransitSwap團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。

隨著事件的影響力擴大,攻擊者似乎也知道真實身份難保。也可能是被項目方“感化”,這位攻擊者決定退回盜取的資產。

截止發稿前,目前攻擊者已將BNB鏈上的37,000BNB和1500ETH,以太坊上的3,180ETH歸還給項目方。2500BNB被轉移到Tornado.Cash,剩余的12,612BNB仍在攻擊者地址上,價值約356萬美元。成都鏈安鏈必追-虛擬貨幣案件智能研判平臺正在對被盜資金進行實時追蹤。

從本次事件,我們可以看到,合約授權依然潛藏著諸多風險。

來源:成都鏈安

Tags:RANTRANSISWAPTRANS價格NanTradeTransientvBSWAP幣

SOL
區塊鏈:科普|盤點市面上常見的十種 NFT/數字藏品_元宇宙

當下數字藏品已經成為一種潮流的社交方式,不過藏品成千上萬、種類繁多,令人眼花繚亂,今天就來給大家盤點10種常見的藏品類型,有一款適合你.

1900/1/1 0:00:00
比特幣:為什么以太坊是最好的選擇?_加密貨幣走勢市場

撰文:DeFiSurfer編譯:Blockunicorn以太坊在市場上,贏得了人們使用最頻繁的加密貨幣,不僅僅是成為最硬的錢.

1900/1/1 0:00:00
比特幣:比特幣短暫沖高2萬美元回落 強勢美元繼續“壓制”加密市場_加密貨幣

過去24小時,美元指數在攀升至約20年來的最高水平后稍作喘息,回到114關口下方,這給風險資產反彈帶來了短暫的機會。比特幣一度突破20,000美元,觸及一周多以來的最高水平.

1900/1/1 0:00:00
COB:Cobo安全團隊:ETH硬分叉里的隱藏風險和套利機會_AIN

前言 隨著ETH升級PoS?共識系統,原有的PoW機制的ETH鏈在部分社區的支持下成功硬分叉。但是,由于某些鏈上協議在設計之初沒有對可能的硬分叉做好準備,導致對應的協議在ETHW分叉鏈存在一定的.

1900/1/1 0:00:00
區塊鏈:《2022年Q3國內元宇宙投融資報告》發布_元宇宙專業大學排名

自從2021年,也就是“元宇宙元年”開始,大量互聯網公司陸續進入元宇宙賽道,全球投融資總額突破了百億元級別.

1900/1/1 0:00:00
比特幣:金色圖覽 | NFT行業周報(10.2 - 10.8)_Recovery Right Tokens

周報概要: 1、上周NFT總交易額:208,532,583(美元)2、上周NFT總交易筆數:998.

1900/1/1 0:00:00
ads