宇宙链 宇宙链
Ctrl+D收藏宇宙链

合约授权的风险:Transit Swap 被盗约2100万美元事件分析

作者:

时间:1900/1/1 0:00:00

2022年10月2日,据成都链安鹰眼-区块链安全态势感知平台舆情监测显示,TransitSwap项目遭受攻击,被盗约2100万美元。关于本次事件,成都链安安全团队第一时间进行了分析。

首先在今早发现被盗后,TransitSwap技术团队紧急暂停服务,无法进行任何操作,很多用户也在社交平台纷纷表示自己钱包的资产被盗。

据悉,本次事件的主角TransitSwap是某加密钱包下的闪兑交易平台。

58COIN永续合约大户持仓情况20:00播报:截至20:00,据58COIN官方永续合约数据,大户持仓情况如下:

BTC永续合约账户中,多头平均持仓比例为19.87%、空头平均持仓比例为17.27%,多头暂时领先,领先数量(净头寸数量)为0.20万个BTC。

EOS永续合约账户中,多头平均持仓比例为17.74%、空头平均持仓比例为15.83%,多头暂时领先,领先数量(净头寸数量)为142.47万个EOS。

ETH永续合约账户中,多头平均持仓比例为17.15%、空头平均持仓比例为19.76%,空头暂时领先,领先数量(净头寸数量)为2.00万个ETH。[2020/8/14]

首先我们需要知道什么是闪兑?

很多加密钱包出了闪兑功能,之所以叫这个名字主要就是因为不同数字货币之间的交易速度很快,因为闪兑不需要像交易所那样来撮合买方和卖方之间的订单,闪兑更像是柜台交易,就像去银行拿美元兑换人民币,在汇率已知的情况下,给多少美元,银行就会根据汇率兑换给你相应数量的人民币。

当前BTC全网合约持仓总量为28.78亿美元 24小时增加1.49亿美元:据合约帝持仓报告显示,当前全网合约持仓总量为28.78亿美元,24小时增加1.49亿美元。其中,Huobi合约8.23亿美元,24小时增加7.10%;OKEx合约9.27亿美元,24小时增加3.66%;BitMEX合约6.88亿美元,24小时增加7.63%;Binance合约4.38亿美元,24小时增加9.75%。[2020/8/6]

闪兑除了兑换交易速度快之外,还有一些其他的功能,这也是很多用户使用它的原因。

下面,我们回到本次事件技术层面来分析。

BSC链上的攻击交易:

https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189

58COIN交割合约24H行情9:00播报:截至9:00,据58COIN交割合约行情:

BTC合约现报价9353.47美元,较现货贴水17.68美元,24h涨跌幅-0.64%。成交量4614.47万手,成交额86288.04万美元,当前持仓总量208.18万手,较上一交易日变化-12.32万手。

EOS合约现报价2.53美元,较现货贴水0.0052美元,24h涨跌幅-1.32%。成交量69.04万手,成交额350.58万美元,当前持仓总量417.36万手,较上一交易日变化-10.78万手。

ETH合约现报价229.92美元,较现货贴水0.49美元,24h涨跌幅-1.33%。成交量154.48万手,成交额1786.34万美元,当前持仓总量75.69万手,较上一交易日变化-8.56万手。[2020/6/19]

以太坊上的攻击交易:

动态 | IOHK推出2款智能合约开发新工具:据investinblockchain报道,IOHK推出2款智能合约开发新工具,分别为Plutus智能合约工具和Marlowe智能合约工具。Plutus将通过提供适用于卡尔达诺(Cardano)区块链的通用编程语言和工具,帮助开发人员开发卡尔达诺智能合约。[2018/12/12]

https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7

用户进行swap兑换时,正常流程是先通过TransitCrossRouterv3合约选择路由合约,随后通过TransitSwap&CrossApproveProxy合约进行权限验证后,调用claimTokens函数将用户兑换的token转入路由合约中。而TransitSwap合约实现时,上述三个合约均未对用户输入数据进行正确的验证,导致攻击者可以构造出任意指定的兑换数据calldata,其中可以将授权过的用户的代币转入攻击者指定的任意地址之中。

这个合约未对下面的calldata进行验证,解析后为下图的input,里面指定了收款人为攻击者地址。

攻击者就通过这种方式,共获利约2100万美元。随后将资金归集到获利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,

但是项目方依然没有放弃,随后TransitSwap官方发布公告称,目前已确定黑客IP、电子邮件地址,以及相关的链上地址。TransitSwap团队表示将尽力追踪黑客,并尝试与黑客沟通,帮助用户挽回损失。

随着事件的影响力扩大,攻击者似乎也知道真实身份难保。也可能是被项目方“感化”,这位攻击者决定退回盗取的资产。

截止发稿前,目前攻击者已将BNB链上的37,000BNB和1500ETH,以太坊上的3,180ETH归还给项目方。2500BNB被转移到Tornado.Cash,剩余的12,612BNB仍在攻击者地址上,价值约356万美元。成都链安链必追-虚拟货币案件智能研判平台正在对被盗资金进行实时追踪。

从本次事件,我们可以看到,合约授权依然潜藏着诸多风险。

来源:成都链安

标签:SWAPRANNSITRAGSWAPORANGESensitrustASTRADAO价格

莱特币最新价格热门资讯
为什么我们要关注星巴克的Web3试验?

原文作者:DAO爱好者,@cwweb3原文标题:《星巴克的Web3试验》9月12日星巴克宣布了基于Web3技术的奥德赛计划的一些细节并开放了申请,这是个把NFT和现有会员卡体系结合的计划,利用Web3技术解锁新的场景.

1900/1/1 0:00:00
在元宇宙中上大学 还存在哪些挑战?

为了最大限度利用元宇宙给教学带来的优势,学校和学生将需要应对隐私、培训成本以及国家对宽带网络的投资水平等带来的挑战.

1900/1/1 0:00:00
Luna后稳定币百花齐放 Cosmos要成为新的DeFi大花园了吗?

撰文:傅卓蕊 Cosmos跨链生态系统如今和波卡系统可谓跨链的双峰,尤其近1-2年发展迅猛。近2021年10月,亚洲开发银行通过Cosmos技术分布式管理账本信息.

1900/1/1 0:00:00
金色Web3.0日报 | 扎克伯格因押注元宇宙损失近5000亿元

DeFi数据 1.DeFi代币总市值:441.51亿美元 DeFi总市值数据来源:coingecko2.过去24小时去中心化交易所的交易量31.84亿美元 金色财经3月4日矿币数据播报:金色财经报道.

1900/1/1 0:00:00
我们研究了 ZK 的技术史 发现下一个千亿应用蕴藏其上

加密世界的焦点经历了比特币、以太坊、DeFi、NFT、元宇宙和Web3的多次变迁,唯独缺少对加密技术本身的关注,除了比特币的椭圆曲线加密算法还算有一点大众认知度,其他加密算法基本停留在研究员和开发者的自嗨中.

1900/1/1 0:00:00
CFTC主席:CFTC是数字资产市场的合适监管机构

9月15日消息,美国商品期货交易委员会主席RostinBehnam在参议院农业委员会的听证会上表示,委员会领导人正在推动一项为加密行业制定新规则的法案,承认CFTC的专业知识和经验使其成为数字资产商品市场的合适监管机构.

1900/1/1 0:00:00