据慢雾区情报,2022年01月28日,Qubit项目的QBridge遭受攻击,损失约8000万美金。慢雾安全团队进行分析后以简析的形式分享给大家。
简要分析
1.攻击者通过ETH上的QBridge合约进行存款操作,存款时传入所要跨的目标链destinationDomainID、所要跨链的资产resourceID以及跨链资金数量与接收地址等参数构成的data。2.攻击者指定传入的resourceID为跨ETHToken所需要的值,但其调用的是QBridge的deposit函数而非depositETH函数,因此首先绕过了跨链资金数量与msg.value的检查。deposit函数会根据resourceID从映射中取出handler地址进行充值,由于攻击者传入的是真实的跨ETHToken所需要的值所以可以顺利调用handler合约的deposit函数。3.handler合约的deposit函数中会根据resourceID取出的所要充值的Token是否在白名单内进行检查,由于攻击者传入的resourceID对应ETH,因此映射中取出的所要充值的Token为0地址,即会被认为是充值ETH而通过了白名单检查。但deposit函数中却并没有对所要充值的Token地址再次进行检查,随后直接通过safeTransferFrom调用了所要充值的Token的transferFrom函数。4.由于所要充值的Token地址为0地址,而call调用无codesize的EOA地址时其执行结果都会为true且返回值为空,因此通过transferFrom的转账操作通过了safeTransferFrom的检查,最后触发了Deposit跨链充值事件。5.由于传入的resourceID为跨ETH所需要的值,因此触发的Deposit事件与真正充值ETH的事件相同,这让QBridge认为攻击者进行了ETH跨链,因此在BSC链上为攻击者铸造了大量的qXETHToken。攻击者利用此qXETH凭证耗尽了Qubit的借贷池。MistTrack分析
业内人士:数字人民币各类推广活动 为实体经济带来更多支持:金色财经报道,7月以来,多家银行推出数字人民币红包活动,活动形式包括绑定抽奖、推荐拉新等。业内人士认为,数字人民币各类推广活动,在向公众普及数字人民币的同时,也推动了消费增长,为实体经济带来更多支持。展望未来数字人民币的推广和应用,中央财经大学绿色金融国际研究院建议,加速数字人民币在绿色金融领域的探索。 (中证报)[2023/7/14 10:54:03]
慢雾AML旗下MistTrack反追踪系统分析发现,攻击者地址(0xd01...5c7)首先从Tornado.Cash提币获取初始资金,随后部署了合约,且该攻击者地址交互的地址是Qubit、PancakeSwap和Tornado.Cash合约地址。目前资金未发生进一步转移。慢雾AML将持续监控被盗资金的转移,拉黑攻击者控制的钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
加密交易所的比特币供应量已降至2018年2月以来的最低水平:金色财经报道,链上分析公司Santiment数据显示,加密交易所的比特币供应量已降至2018年2月以来的最低水平。在美国证券交易委员会 (SEC) 指责Binance 和Coinbase向美国客户提供未注册证券后出现大幅下跌,过去一周有6.4%的供应离开交易所。[2023/6/14 21:36:30]
Web3游戏工作室CLUB完成310万美元种子轮融资,Zee Prime Capital领投:金色财经消息,Web3游戏工作室CLUB宣布完成310万美元种子轮融资,Zee Prime Capital领投,ATKA、Merit Circle、CitizenX、Moonlanding Ventures、Petrock Capital以及几位专注于GameFi、足球和媒体的知名天使投资人参投。CLUB计划利用新融资进一步开发其首款游戏,包括构建市场,建立社区,并扩大其团队。与社区的游戏开发将在2022年第三季度开始。
CLUB正在开发P2E足球游戏“CLUB Game”,旨在引入Web3数字所有权来增强游戏体验。该游戏目前处于早期测试阶段,目前已有超过25000名注册用户。CLUB计划在整个2022/23年扩大测试。(Alexa Blockchain)[2022/7/16 2:16:57]
总结
数据:主流DeFi借贷协议过去24小时共清算超1270万美元:6月13日消息,据 Dune Analytics 的数据显示,主流 DeFi 借贷协议过去 24 小时共清算超 1270 万美元。其中 Aave 清算 451.6 万美元,Compond 清算 678.2 万美元,MakerDAO 清算 141.6 万美元。[2022/6/13 4:21:37]
本次攻击的主要原因在于在充值普通Token与nativeToken分开实现的情况下,在对白名单内的Token进行转账操作时未对其是否为0地址再次进行检查,导致本该通过native充值函数进行充值的操作却能顺利走通普通Token充值逻辑。慢雾安全团队建议在对充值Token进行白名单检查后仍需对充值的是否为nativeToken进行检查。参考交易:https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acfhttps://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02原地址
标签:TOKEKENTOKTOKENDSF TokenSideKick Tokenimtoken怎么充值TRXIconiq Lab Token
亚洲天王周杰伦在1月29日发文宣布将携手中国数字潮玩收藏平台「薄盒Mints」及国际拍卖行合作拍卖自己从未公开的经典歌曲Demo音乐数字藏品.
1900/1/1 0:00:00要说加密圈里最有活力和持续热度的赛道,非NFT莫属。头像类NFT大佬CryptoPunks、BAYC让“壕”们一掷千金,知名品牌如阿迪达斯等纷纷试水NFT,明星库里、五月天阿信等也来为NFT“带货”……站在消费者的角度,或投资或收藏,
1900/1/1 0:00:00利用加密货币和NFT的Web3项目结合了多种类型的网络效应,但这些网络效应也相对较弱......至少到目前为止如此。 Web3已经成为2021年的决定性技术趋势——而网络效应是其中的核心.
1900/1/1 0:00:00头条 Polygon完成4.5亿美元融资,红杉印度领投以太坊扩容解决方案Polygon完成4.5亿美元融资,红杉印度领投,软银、TigerGlobal、GalaxyDigital等参投.
1900/1/1 0:00:00Kava的故事,要从Cosmos开始说起。随着以Terra为代表的生态项目相继崛起,以及链间通信协议的最终落地,人们对于Cosmos及其生态内项目的认知和价值评估逻辑已有了新的变化.
1900/1/1 0:00:00作者|秦晓峰编辑|郝方舟出品|Odaily星球日报 最近几天,一个打着「解救阿桑奇」旗号的项目AssangeDAO,在短短几天时间内募资超过1.48万ETH,成为Crypto圈新热点.
1900/1/1 0:00:00