月亮链 月亮链
Ctrl+D收藏月亮链
首页 > FTT > 正文

BIKI:合约授权的风险:Transit Swap 被盗约2100万美元事件分析_RAN

作者:

时间:1900/1/1 0:00:00

2022年10月2日,据成都链安鹰眼-区块链安全态势感知平台舆情监测显示,Transit Swap 项目遭受攻击,被盗约2100万美元。关于本次事件,成都链安安全团队第一时间进行了分析。

首先在今早发现被盗后,Transit Swap 技术团队紧急暂停服务,无法进行任何操作,很多用户也在社交平台纷纷表示自己钱包的资产被盗。

据悉,本次事件的主角Transit Swap是某加密钱包下的闪兑交易平台。

58COIN交割合约24H行情9:00播报:截至9:00,据58COIN交割合约行情:BTC合约现报价24562.05美元,较现货贴水43.08美元,24h涨跌幅4.22%。成交量7301.36万手,成交额352749.96万美元,当前持仓总量69.76万手,较上一交易日变化12.75万手。

EOS合约现报价2.66美元,较现货贴水0.0041美元,24h涨跌幅0.45%。成交量368.32万手,成交额1942.34万美元,当前持仓总量294.73万手,较上一交易日变化-10.85万手。

ETH合约现报价624.07美元,较现货贴水1.21美元,24h涨跌幅2.25%。成交量575.03万手,成交额17829.43万美元,当前持仓总量202.83万手,较上一交易日变化10.85万手。[2020/12/26 16:33:12]

首先我们需要知道什么是闪兑?

BiKi混合合约行情播报:合约多空持仓量占比为69%:31%:据BiKi合约官方数据,截至今日14:00(GMT+8),合约多空总量持仓占比为69%:31%。BTC多空持仓占比为76%:24%;ETH为79%:21%;BCH为55%:45%;EOS为77%:23%;XRP为66%:34%;BIKI混合合约为75%:25%;JST混合合约为75%:25%;ODIN混合合约为55%:45%。

混合合约指用户可使用任意币种作为保证金来交易主流永续合约品种,盈亏均以保证金币种进行结算。作为全球最大的混合合约交易平台,目前平台已开放BIKI、VDS、ETH、TRX、HT、YTA、JST、ODIN、OKS、LINK、DMCH等币种,更多币种持续开放中。[2020/8/26]

很多加密钱包出了闪兑功能,之所以叫这个名字主要就是因为不同数字货币之间的交易速度很快,因为闪兑不需要像交易所那样来撮合买方和卖方之间的订单,闪兑更像是柜台交易,就像去银行拿美元兑换人民币,在汇率已知的情况下,给多少美元,银行就会根据汇率兑换给你相应数量的人民币。

当前BTC全网合约持仓总量为22.41亿美元 24小时增加8300万美元:据合约帝持仓报告显示,截止18:00,当前全网合约持仓总量为22.41亿美元,24小时增加8300万美元。其中,Huobi合约5.46亿美元,24小时增加3.52%;OKEx合约5.93亿美元,24小时增加4.02%;BitMEX合约6.85亿美元,24小时增加1.10%;Binance合约4.16亿美元,24小时增加7.00%。[2020/7/9]

闪兑除了兑换交易速度快之外,还有一些其他的功能,这也是很多用户使用它的原因。

下面,我们回到本次事件技术层面来分析。

BSC链上的攻击交易:

BiKi混合合约新增上线BNB、HT、OKB、YTA、ODIN:BiKi混合合约现已完成上线BIKI、VDS、TRX、BNB、HT、OKB、YTA、ODIN,更多优质币种,敬请期待。据悉,混合合约活动进行中,在BiKi交易混合合约任意币种即可瓜分USDT,还可赢取限量好礼。

混合合约是BiKi基于永续合约推出的下一代合约产品,用户可使用任意币种作为保证金来交易主流永续合约品种,盈亏结算均以保证金的币种进行结算。[2020/6/29]

https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189

以太坊上的攻击交易:

https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7

用户进行swap兑换时,正常流程是先通过Transit Cross Router v3合约选择路由合约,随后通过Transit Swap&Cross Approve Proxy合约进行权限验证后,调用claimTokens函数将用户兑换的token转入路由合约中。而Transit Swap 合约实现时,上述三个合约均未对用户输入数据进行正确的验证,导致攻击者可以构造出任意指定的兑换数据calldata,其中可以将授权过的用户的代币转入攻击者指定的任意地址之中。

这个合约未对下面的calldata进行验证,解析后为下图的input,里面指定了收款人为攻击者地址。

攻击者就通过这种方式,共获利约2100万美元。随后将资金归集到获利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,

但是项目方依然没有放弃,随后Transit Swap 官方发布公告称,目前已确定黑客 IP、电子邮件地址,以及相关的链上地址。Transit Swap 团队表示将尽力追踪黑客,并尝试与黑客沟通,帮助用户挽回损失。

随着事件的影响力扩大,攻击者似乎也知道真实身份难保。也可能是被项目方“感化”,这位攻击者决定退回盗取的资产。

截止发稿前,目前攻击者已将BNB链上的37,000 BNB 和1500 ETH,以太坊上的3,180 ETH归还给项目方。2500 BNB被转移到Tornado.Cash,剩余的12,612 BNB仍在攻击者地址上,价值约356万美元。成都链安链必追-虚拟货币案件智能研判平台正在对被盗资金进行实时追踪。

从本次事件,我们可以看到,合约授权依然潜藏着诸多风险。

来源:成都链安

财经法学

金色早8点

链捕手

PANews

Bress

Odaily星球日报

区块律动BlockBeats

标签:BIKIRANANSTRANSbiking币网appTRANSTranscodiumTRANSPARENT价格

FTT热门资讯
CASH:资深加密律师:Tornado Cash 被制裁有何影响?新的监管挑战即将到来?_CASHZ币

来源 | SolaNews前不久,美国财政部外国资产控制办公室(OFAC)宣布制裁混币协议 Tornado Cash.

1900/1/1 0:00:00
GNO:从香港地区“破币”案看_thedinosuarcoin

有赖于互联网技术的广泛应用,可供人们选择的金融产品五花八门的充斥在市场上,虚拟货币作为区块链技术最为成熟的应用.

1900/1/1 0:00:00
数字人:首例港人数字人民币缴税在前海办理成功_区块链

深圳特区报讯:日前,来自香港、在深创业的陈先生在前海税务局办税服务厅申报了9月的个人所得税,并成功使用数字人民币缴纳了税款.

1900/1/1 0:00:00
NFT:探索 NFT 市场微观结构:一个高效的 NFT 市场会是怎样的?_SODIUM Vault (NFTX)

原文标题:《为 NFT 构建市场微观结构》撰文:black mirror编译:RR来源:老雅痞我最近一直在探索围绕 NFT 不断发展的市场微观结构.

1900/1/1 0:00:00
区块链:区块链存储四大优势不可不知_BAS

存储并不是个新词,随着互联网技术的快速发展,企业级存储、云存储等已成为人们工作生活的标配。与此同时,伴随区块链技术的发展与成熟,区块链存储的优势和特点开始受到多方关注.

1900/1/1 0:00:00
BTC:晚间必读 | 国内元宇宙政策汇编_UND

如果你只有几分钟的阅读时间,下面的内容是作为投资者、运营商或创始人的你应该了解的:关于当前最令人兴奋的加密趋势。点击阅读近日Acala出现漏洞,攻击者地址能够转移超10亿枚aUSD.

1900/1/1 0:00:00