DearKuCoinUsers,
KuCoinwillclosethetradingserviceforMATCHat13:30:00,November28,2022(UTC).
安全团队:跨链DEX聚合器Transit Swap因任意外部调用问题被黑,被盗资金规模超2300万美元:10月2日消息,据慢雾安全团队情报,2022年10月2号跨链DEX聚合器TransitSwap项目遭到攻击,导致用户资产被非预期的转出。慢雾安全团队分析评估此次被盗资金规模超过2300万美元,黑客地址为0x75F2...FD46和0xfa71...90fb。接着对此次攻击过程进行了分析:
1. 当用户在Transit Swap进行swap时,会先通过路由代理合约(0x8785bb...)根据不同的兑换类型选择不同的路由桥合约。随后路由桥合约(0x0B4727...)会通过权限管理合约(0xeD1afC...)的 claimTokens 函数将用户待兑换的代币转入路由桥合约中。因此在代币兑换前用户需要先对权限管理合约(0xeD1afC...)进行授权。
2. 而 claimTokens 函数是通过调用指定代币合约的 transferFrom 函数进行转账的。其接收的参数都由上层路由桥合约(0x0B4727...)传入,本身没有对这些参数进行任何限制只检查了调用者必须为路由代理合约或路由桥合约。
3. 路由桥合约(0x0B4727...)在接收到用户待兑换的代币后会调用兑换合约进行具体的兑换操作,但兑换合约的地址与具体的函数调用数据都由上层路由代理合约(0x8785bb...)传入,路由桥合约并未对解析后的兑换合约地址与调用数据进行检查。
4. 而代理合约(0x8785bb...)对路由桥合约(0x0B4727...)传入的参数也都来自于用户传入的参数。且代理合约(0x8785bb...)仅是确保了用户传入的 calldata 内各数据长度是否符合预期与所调用的路由桥合约是在白名单映射中的地址,未对 calldata 数据进行具体检查。
5. 因此攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷。通过路由代理合约传入构造后的数据调用路由桥合约的 callBytes 函数。callBytes 函数解析出攻击者指定的兑换合约与兑换数据,此时兑换合约被指定为权限管理合约地址,兑换数据被指定为调用 claimTokens 函数将指定用户的代币转入攻击者指定的地址中。实现了窃取所有对权限管理合约进行授权的用户的代币。
此次攻击的主要原因在于 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查,导致了任意外部调用的问题。攻击者利用此任意外部调用问题窃取了用户对Transit Swap授权的代币。
截止到目前,黑客已将 2,500 BNB 转移到 Tornado Cash,剩余资金分散保留在黑客地址中。经过黑客痕迹分析发现,黑客存在从 LATOKEN 等平台存提款的痕迹。慢雾 MistTrack 将持续跟进被盗资金的转移以及黑客痕迹的分析。[2022/10/2 18:37:27]
Weapologizeforanyinconveniencesthismaycause.
火币FastTrack项目ANKR:希望成为底层和应用层的基础设施提供商:9月1日,火币全球站第12期 FastTrack项目、STPT正式开始投票。金色财经内容总监王瑜琨作为媒体观察团,线上对话Ankr联合创始人、首席运营官Ryan Fang。
Ryan Fang 认为未来的公链会越来越少,整个行业会角逐出几个佼佼者,然后逐步迈向应用层。不难想象,除了以太坊的其他公链在未来也会支持他们自己的DeFi生态, ANKR希望成为任何区块链/Web3底层协议和上层应用的基础设施提供商。[2020/9/1]
Relatedfollow-upstothissubjectwillbeannouncedseparately.?
声音 | 网络安全公司Vectra:大学生挖矿易遭受黑客恶意攻击:据Cryptoglobe消息,美国宾夕法尼亚州立大学毕业生Patrick Cines近日透露,他在本科期间用加密货币挖矿获取收入。对于这种现象,网络安全公司Vectra表示,大学生进行加密货币挖矿易遭受黑客的恶意攻击。黑客可能会利用大型挖矿机器对其发起网络攻击,劫持他们的计算机资源。[2018/8/13]
Thankyouforyoursupport!
TheKuCoinTeam
FindTheNextCryptoGemOnKuCoin!
DownloadKuCoinApp>>>
FollowusonTwitter>>>
JoinusonTelegram>>>
JoinKuCoinGlobalCommunities>>>
AlpacaFinance(ALPACA)项目解析1.研究院短评alpacafinance在2021年正式上线,主打杠杆挖矿,一度成为bsc上最大的借贷协议.
1900/1/1 0:00:0011月30日,随着BTC突破三重阻力位16,680美元,比特币价格预测看涨。比特币(BTC)延续了之前的涨势,并达到了17,000美元关口上方的盘中高点.
1900/1/1 0:00:00以太坊对美元持有1,150美元的关键支撑位。ETH正在上涨,甚至可能在短期内清除1,250美元的阻力区域。以太坊修正走低,但多头在1,150美元附近活跃.
1900/1/1 0:00:00金色财经报道,布鲁塞尔税收研讨会上的发言人强调有必要打击加密货币避税行为,因此加密货币税收谈判正在欧盟的议程上攀升。几位消息人士证实,欧盟委员会计划在12月7日通过新的加密税提案草案.
1900/1/1 0:00:00亲爱的CoinW用户:CoinW于11/25开启“足球杯预测帝——竞猜得奖,一天赢四场“活动,由于活动太过火爆,参与竞猜活动获得的奖励将统一在活动结束后发放,请您耐心等待.
1900/1/1 0:00:00以太坊在美联储主席杰罗姆·鲍威尔(JeromePowell)在布鲁金斯学会(BrookingsInstitution)发表讲话之前,周三股价上涨超过4%.
1900/1/1 0:00:00
月亮链