2022年10月2日,据成都链安鹰眼-区块链安全态势感知平台舆情监测显示,Transit Swap 项目遭受攻击,被盗约2100万美元。关于本次事件,成都链安安全团队第一时间进行了分析。
首先在今早发现被盗后,Transit Swap 技术团队紧急暂停服务,无法进行任何操作,很多用户也在社交平台纷纷表示自己钱包的资产被盗。
据悉,本次事件的主角Transit Swap是某加密钱包下的闪兑交易平台。
24小时BTC合约大单成交2.45亿美元 现货大单成交4亿美元:据合约帝大单成交数据显示,最近24小时BTC合约大单成交2.45亿美元,其中买单4965万美元,卖单1.96亿美元;BTC现货大单成交4亿美元,其中买单2.21亿美元,卖单1.78亿美元。[2021/3/31 19:32:30]
首先我们需要知道什么是闪兑?
很多加密钱包出了闪兑功能,之所以叫这个名字主要就是因为不同数字货币之间的交易速度很快,因为闪兑不需要像交易所那样来撮合买方和卖方之间的订单,闪兑更像是柜台交易,就像去银行拿美元兑换人民币,在汇率已知的情况下,给多少美元,银行就会根据汇率兑换给你相应数量的人民币。
当前BTC全网合约持仓总量94.76亿美元 24小时增加0.81亿美元:据合约帝持仓报告显示,当前全网合约持仓总量为94.76亿美元,24小时增加0.81亿美元。其中,Huobi合约17.59亿美元,24小时减少1.51%;OKEx合约23.61亿美元,24小时减少0.14%;BitMEX合约8.16亿美元,24小时增加6.70%;Binance合约18.45亿美元,24小时减少0.92%;Bybit合约26.68亿美元,24小时增加1.99%。[2021/3/17 18:53:22]
闪兑除了兑换交易速度快之外,还有一些其他的功能,这也是很多用户使用它的原因。
现场丨加州伯克利大学教授:目前智能合约安全主要还在应用层:金色财经现场报道,6月26日在圣何塞会议中心举行的Blockchain Connect会议上,加州伯克利大学教授, Oasis创始人兼CEO Dawn Song表示:“当讨论安全的时候,要注意安全的不同层面。是链的安全、交易所的安全还是智能合约的安全?目前来看应用层面的安全是智能合约安全的主要的方面,但很多应用方面的问题我们之前已经遇到过了,我们也已经积累了很多技术去解决这种安全问题,应该了解到真正需要解决的问题,然后找到对应的解决方式。”[2018/6/27]
下面,我们回到本次事件技术层面来分析。
BSC链上的攻击交易:
CFTC外汇持仓周报:本周CBOE比特币期货净空头头寸减少350手合约:据CFTC外汇持仓周报,至6月19日当周,CBOE比特币期货净空头头寸减少350手合约,至1595手合约。[2018/6/23]
https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189
以太坊上的攻击交易:
https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7
用户进行swap兑换时,正常流程是先通过Transit Cross Router v3合约选择路由合约,随后通过Transit Swap&Cross Approve Proxy合约进行权限验证后,调用claimTokens函数将用户兑换的token转入路由合约中。而Transit Swap 合约实现时,上述三个合约均未对用户输入数据进行正确的验证,导致攻击者可以构造出任意指定的兑换数据calldata,其中可以将授权过的用户的代币转入攻击者指定的任意地址之中。
这个合约未对下面的calldata进行验证,解析后为下图的input,里面指定了收款人为攻击者地址。
攻击者就通过这种方式,共获利约2100万美元。随后将资金归集到获利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,
但是项目方依然没有放弃,随后Transit Swap 官方发布公告称,目前已确定黑客 IP、电子邮件地址,以及相关的链上地址。Transit Swap 团队表示将尽力追踪黑客,并尝试与黑客沟通,帮助用户挽回损失。
随着事件的影响力扩大,攻击者似乎也知道真实身份难保。也可能是被项目方“感化”,这位攻击者决定退回盗取的资产。
截止发稿前,目前攻击者已将BNB链上的37,000 BNB 和1500 ETH,以太坊上的3,180 ETH归还给项目方。2500 BNB被转移到Tornado.Cash,剩余的12,612 BNB仍在攻击者地址上,价值约356万美元。成都链安链必追-虚拟货币案件智能研判平台正在对被盗资金进行实时追踪。
从本次事件,我们可以看到,合约授权依然潜藏着诸多风险。
来源:成都链安
财经法学
金色早8点
链捕手
PANews
Bress
Odaily星球日报
区块律动BlockBeats
标签:TRAANSSWAPNSIXTRA TokenYearn Loans FinanceBullSwapSIMPSONSINU
人们喜欢把 DeFi 看成是单一的整体,但每种类型的 DeFi 协议都经营着彼此不同的业务,它们的竞争优势,收入质量和定价能力各不相同.
1900/1/1 0:00:00对“传统”员工满意度的研究反复表明,工作中有五个关键因素:任务享受、对任务重要性的理解、人员、反馈文化和成长机会。在 DAO 中并没有太大的不同。留住喜欢工作并与文化保持一致的人可以为所有人创造双赢局面.
1900/1/1 0:00:00美国财政部外国资产控制办公室 (OFAC) 上周发布了针对 Tornado Cash 的制裁措施,标志着其针对去中心化金融的首次行动,这可能被证明是 DeFi 监管的分水岭时刻.
1900/1/1 0:00:00当上万圣节的档期,日本传奇恐怖漫画家伊藤润二即将推出《富江》系列的NFT产品,不过此消息传出后,粉丝激烈反对,官推被差评所淹没.
1900/1/1 0:00:00原文标题:Foresight Ventures: Crypto 在崩溃与融合中步入新生AC 认为:Crypto 走得是早年货币政策的老路,在重蹈覆辙,在重新犯下货币政策以前曾犯过的错。屠龙者可能在慢慢变成恶龙.
1900/1/1 0:00:00基本面很重要,代币模型仅仅是引擎盖下的一种助力。原文:《Bankless 丨最佳 DeFi 代币模型:治理代币 or 生产性代币 or veToken?》by Lucas Campbell 编译:Yangz 代币经济学是一个新兴的领域.
1900/1/1 0:00:00