宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > DOT > 正文

黑客从不在假期休息:Transit Swap被攻击,2000万美元不翼而飞-ODAILY

作者:

时间:1900/1/1 0:00:00

北京时间10月2日凌晨02:33:47开始,数百个与TransitSwap互动的钱包先后被盗,随后资产被转移到一个攻击者的外部拥有账户。目前资产损失已超过2000万美元。

MistTrack:Poly Network黑客已获利超1000万美元:金色财经报道,据慢雾旗下MistTrack监测,已发现Poly Network事件两笔新被盗交易,金额超过300万枚USDC和260万枚USDT。攻击者将USDC兑换为1557.36枚ETH并保存在地址(0x2f6c...7b82)中,将USDT兑换为1371.64枚ETH并保存在地址(0x3d66...7047)中。截至目前,黑客已经获利超过1000万美元。[2023/7/3 22:15:35]

此次攻击,主要是针对那些已经批准TransitSwap&CrossApproveProxy合约的地址。

Beosin:Thoreum Finance项目被黑客攻击,被盗资金约58万美元:金色财经报道,据Beosin EagleEye 安全预警与监控平台检测显示,Thoreum Finance项目被黑客攻击,涉及金额约为58万美元。由于ThoreumFinance项目方创建的未开源合约0x79fe的transfer函数疑似存在漏洞,当transfer函数的from和to地址相同时,由于使用临时变量存储余额,导致给自己转账时,余额会成倍增加,攻击者重复操作多次,最终获利2000BNB。

Beosin安全团队通过Beosin Trace进行追踪,发现被盗资金已全部转入tornado cash。[2023/1/19 11:21:19]

TransitSwap被称为“跨链DEX聚合器”。开发者在注意到漏洞后暂停了合约,不过还是有49,815枚BNB和5,182枚ETH在合约暂停前就被从用户的钱包中转移了出来。

密码管理平台LastPass遭到黑客攻击,用户密码恐遭泄露:12月25日消息,LastPass表示,一个未知的黑客利用之前他们在2022年8月披露的事件中获得的信息访问了一个基于云的存储环境,一些消息来源代码和技术信息被盗,并被用于攻击另一名员工,以获取用于访问和解密基于云存储服务中的某些存储凭证和密钥。

LastPass已经确定,黑客一旦获得云存储访问密钥和双存储容器解密密钥,就会从备份中复制信息,其中包含客户账户信息和相关元数据,例如公司名称、最终用户名称、账单地址、客户访问LastPass服务时使用的电子邮件地址、电话号码和IP地址。 此外,黑客还能从加密存储容器中复制客户保险库数据的备份。

黑客可能会尝试使用蛮力猜测用户的主密码并解密他们获取的保险库数据副本,还可能针对与LastPass保险库关联的在线帐户进行网络钓鱼攻击。[2022/12/25 22:06:07]

Skytrace追踪

我们使用CertiKSkytrace来可视化攻击者的钱包,可以很明显地看出一些端倪:

使用Skytrace可视化攻击者的钱包

事件经过

首先,攻击者的EOA与大量的个人钱包进行了互动,说明攻击者很可能滥用了TransitSwap&CrossApproveProxy合约中的一些漏洞,单独消耗了数百个地址。

随后,根据CertiKSkytrace的地址标签,我们可以看到攻击者已经开始将被盗资金转移到BNB链上的TornadoCash。

攻击者使用Multichain的跨链路由器将2000个被盗ETH从以太坊桥接到BNB链,而BNB链钱包目前有1,499枚ETH和49,612枚BNB。

TransitSwap在他们的推特页面上发布了以下公告:

标签:TRATRANSANSRANDecentralizedData Transaction TokenTranscodiumalgorand币种

DOT热门资讯
区块链?应对未来的5个关键点-ODAILY

2020-2022年期间区块链行业发生了极快的变化,从2019年-2020年上半年初几乎觉得没有什么有意思的一级项目与新创意,到Compound直接带动Defi热潮,继而带动了DEX,NFT,元宇宙.

1900/1/1 0:00:00
链上数据分析工具盘点-ODAILY

在我们刚刚经历的FTX暴雷事件中,有很多分析师、研究员们通过分析FTX、alameda的链上资产以及他们和其他主体之间的资金往来,试图对这次事件的全貌获得更好的理解。Web2的发展历程告诉我们,数据已经成为最重要的生产资料之一.

1900/1/1 0:00:00
Unstoppable Domains成为2022波场黑客松大赛第三季合作伙伴-ODAILY

据官方消息,UnstoppableDomains已成为2022波场黑客松大赛第三季合作伙伴。与此同时,UnstoppableDomains合伙人工程经理JimAmarando将担任本季评委.

1900/1/1 0:00:00
边跑边赚风光不再,回顾STEPN短暂的荣光-ODAILY

笔者曾在6月份发布一篇关于STEPN投资潜力的文章,不久后便出清了所持有的跑鞋NFT以及所有代币。两个月过去了,我决定旧地重游,看看这“边跑边赚”(Move-to-Earn)区块链游戏是否还活着.

1900/1/1 0:00:00
Azuki中国区首次Holders Party于上海圆满举办-ODAILY

Azuki中国社区红豆花园携手1900ArtSpace共同主办了首次国内HoldersParty/Azuki文化艺术展览.

1900/1/1 0:00:00
在孙宇晨的大刀阔斧建设下,波场Web3的未来正清晰可见-ODAILY

Web3普遍被用来描述互联网的下一阶段,一个运行在区块链技术之上的去中心化的互联网。随着当下NFT、元宇宙等热门赛道的火热建设正把Web3的发展推向一个前所未有的高度,众多研究及数据也表明,Web3时代已然来临.

1900/1/1 0:00:00