RAN:跨链交易协议THORChain被攻击事件分析_TRANS

北京时间7月23日，去中心化跨链交易协议?THORChain(RUNE)再次遭遇攻击，包括XRUNE在内的多种ERC20代币受到影响，涉及损失约800万美元。THORChain已是一个月内第三次受到攻击，此前在7月16日遭受攻击，损失约4000ETH；在6月29日遭受恶意攻击，损失14万美元。

跨链交易聚合器 LI.FI 完成 550 万美元融资，1kx 领投:7月11日消息，跨链交易聚合器 LI.FI 完成 550 万美元融资，1kx 领投，参投方包括 Dragonfly Capital、Lattice Capital、Scalar Capital、6th Man Ventures、Coinbase Ventures、BairesDAO 和 AngelDAO 等。本轮融资将用于通过营销及支持其他区块链来扩展 LI.FI 生态。（CoinDesk）[2022/7/11 2:06:14]

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

互操作性协议Connext宣布已在主网上线其通用的跨链交易协议NXTP:官方消息，以太坊Layer2互操作性协议Connext宣布，已在主网上线其通用的跨链交易协议NXTP，并支持Arbitrum、Polygon、xDai、Fantom、Binance Smart Chain。

据悉， Nxtp是用于在以太坊域（链 + L2s）之间传输资产和调用合约的基础协议。[2021/9/28 17:13:11]

一、事件分析

攻击交易：https://etherscan.io/tx/0xce958939ba23771d0a0b80532c463b4cbbb175f4d14c08d9d27dd251f68a5da1

跨链交易平台Multichain.xyz已更新至v1.0.8:YFI创始人Andre Cronje发推称，跨链交易平台Multichain.xyz已更新至v1.0.8，添加支持Goerli、支持以太坊wETH到Goerli wETH。AC表示，支持Goerli作为L2扩展解决方案。[2021/7/6 0:31:45]

Translatedger互操作性平台可使用Telos区块链技术进行跨链交易:5月26日，Telos宣布Translatedger将使用其区块链技术为一个互操作平台提供动力，使加密货币能够在区块链之间移动。

Translatedger平台旨在为DEX等P2P应用程序带来改进，同时通过更快、更强大的智能合约功能实现对比特币等加密货币的管理。（Cointelegraph）[2020/5/26]

图1攻击者攻击THORChainRouter获取XRUNE代币

攻击者调用THORChainRouter合约的transferOut函数向攻击者转了一笔数量为amount的代币，代币的类型由asset的类型来确定，转账的sender为THORChainRouter的合约地址。

图2?THORChainRouter合约的TransferOut函数

图3?通过TransferOut函数牟利Sushi币

攻击者之所以可以实现这样的攻击，是因为THORChainRouter合约的TransferOut函数漏洞导致--使用asset.call(abi.encodeWithSignature("transfer(address,uint256)",to,amount))语句进行转账;

图4?YFI.sol中的transfer

图5?FiatToken.sol中的transfer

图6?XRUNE.sol中的transfer?

在使用call函数时，msg.sender的值为THORChainRouter地址，执行环境为被调用者的运行环境，因此会调用asset代币合约中的transfer函数，向接收者转出代币。而此次攻击者攻击THORChainRouter合约牟利的六种代币合约中，实现转账的函数均为"transfer(address,uint256)"这种形式，这也使得攻击者有可乘之机。

标签：RANTRANSANSTRATransmute ProtocolTRANSPARENT价格fans币可以交易嘛United Emirate Decentralized Coin

FTX热门资讯