据慢雾区情报,2022年01月28日,Qubit项目的QBridge遭受攻击,损失约8000万美金。慢雾安全团队进行分析后以简析的形式分享给大家。
简要分析
1.攻击者通过ETH上的QBridge合约进行存款操作,存款时传入所要跨的目标链destinationDomainID、所要跨链的资产resourceID以及跨链资金数量与接收地址等参数构成的data。2.攻击者指定传入的resourceID为跨ETHToken所需要的值,但其调用的是QBridge的deposit函数而非depositETH函数,因此首先绕过了跨链资金数量与msg.value的检查。deposit函数会根据resourceID从映射中取出handler地址进行充值,由于攻击者传入的是真实的跨ETHToken所需要的值所以可以顺利调用handler合约的deposit函数。3.handler合约的deposit函数中会根据resourceID取出的所要充值的Token是否在白名单内进行检查,由于攻击者传入的resourceID对应ETH,因此映射中取出的所要充值的Token为0地址,即会被认为是充值ETH而通过了白名单检查。但deposit函数中却并没有对所要充值的Token地址再次进行检查,随后直接通过safeTransferFrom调用了所要充值的Token的transferFrom函数。4.由于所要充值的Token地址为0地址,而call调用无codesize的EOA地址时其执行结果都会为true且返回值为空,因此通过transferFrom的转账操作通过了safeTransferFrom的检查,最后触发了Deposit跨链充值事件。5.由于传入的resourceID为跨ETH所需要的值,因此触发的Deposit事件与真正充值ETH的事件相同,这让QBridge认为攻击者进行了ETH跨链,因此在BSC链上为攻击者铸造了大量的qXETHToken。攻击者利用此qXETH凭证耗尽了Qubit的借贷池。MistTrack分析
去中心化交易平台Slingshot官推疑似被盗,发布虚假空投信息:6月20日消息,去中心化交易平台Slingshot官方Twitter账户疑似被盗,发布虚假官网链接,表示用户可申领空投代币SLING。目前对应虚假官网链接与ForesightWiki收录的真实官网链接不同。[2023/6/20 21:48:43]
慢雾AML旗下MistTrack反追踪系统分析发现,攻击者地址(0xd01...5c7)首先从Tornado.Cash提币获取初始资金,随后部署了合约,且该攻击者地址交互的地址是Qubit、PancakeSwap和Tornado.Cash合约地址。目前资金未发生进一步转移。慢雾AML将持续监控被盗资金的转移,拉黑攻击者控制的钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
技术政策专家就美SEC与Ripple诉讼案提交干预动议:2月16日消息,技术政策专家Roslyn Layton已就美国证券交易委员会(SEC)与Ripple的诉讼案向法院提交干预动议,要求获取Hinman演讲文件的内容。
此前消息,SEC对Ripple提起诉讼的重点在于认为XRP是未注册证券,但SEC前金融司司长Bill Hinman于2018年的演讲中解释了比特币和以太坊并非证券,这使得SEC的陈述前后矛盾;去年底美SEC就Ripple诉讼案提交动议,要求封存Hinman文档在内的相关文件。[2023/2/16 12:10:32]
报告:预计2030年,中国元宇宙市场规模将达40万亿元:金色财经消息,对于中国元宇宙发展的现状及未来,《中国元宇宙投融资数据报告》显示,目前中国元宇宙融资额达54.6亿元、中国虚拟人企业达16万家、支持元宇宙的省/市达20多个。德勤中国副首席执行官兼首席质量与转型官刘明华指出,2030年,中国元宇宙市场规模将达40万亿元,将是GDP的20%,元宇宙中的电子产品和可穿戴设备将价值1000亿美元。(第一财经)[2022/9/4 13:07:25]
总结
本次攻击的主要原因在于在充值普通Token与nativeToken分开实现的情况下,在对白名单内的Token进行转账操作时未对其是否为0地址再次进行检查,导致本该通过native充值函数进行充值的操作却能顺利走通普通Token充值逻辑。慢雾安全团队建议在对充值Token进行白名单检查后仍需对充值的是否为nativeToken进行检查。参考交易:https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acfhttps://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02原地址
标签:KENTOKETOKENTOKdyxtokenAFRICA RISE TOKENglobalusdtokenShield Token
最近,CryptoCMO概念第一人IreneZhao发行的自拍NFT成为了整个Crypto世界最火热的话题.
1900/1/1 0:00:00InsightDID&PoP身份验证和管理上期《人机博弈才刚刚开始》讲到了为什么DID和PoP在Web3.0尤为重要.
1900/1/1 0:00:00非常感谢RobGolden、HugoMasclet和CallumGrindle,他们帮助我完善了这篇文章。我也非常感谢与KEEZDAO的合作,为这个话题带来更多的关注.
1900/1/1 0:00:00L2解决方案将如何影响DAO的可组合性 本系列的第一篇文章——什么是可组合性?-让Web3听起来像是晴空万里,但放大来看,2020年年中,以太坊费用上涨给Web3Legothesis带来了麻烦.
1900/1/1 0:00:00「每周编辑精选」是Odaily星球日报的一档“功能性”栏目。星球日报在每周覆盖大量即时资讯的基础上,也会发布许多优质的深度分析内容,但它们也许会藏在信息流和热点新闻中,与你擦肩而过.
1900/1/1 0:00:00我们都知道,加入社区Discord服务器的人不一定就是DAO的成员。而且,不同级别的社区参与者应该有不同的特权和期望,把它们混为一谈是对社区的伤害.
1900/1/1 0:00:00
月亮链