月亮链 月亮链
Ctrl+D收藏月亮链
首页 > Uniswap > 正文

ANS:合约授权的风险:Transit Swap 被盗约2100万美元事件分析_Witcher Fans

作者:

时间:1900/1/1 0:00:00

2022年10月2日,据成都链安鹰眼-区块链安全态势感知平台舆情监测显示,TransitSwap项目遭受攻击,被盗约2100万美元。关于本次事件,成都链安安全团队第一时间进行了分析。

首先在今早发现被盗后,TransitSwap技术团队紧急暂停服务,无法进行任何操作,很多用户也在社交平台纷纷表示自己钱包的资产被盗。

据悉,本次事件的主角TransitSwap是某加密钱包下的闪兑交易平台。

数据:莱特币期货的未平仓合约已达到4.2亿美元:金色财经报道,莱特币期货的未平仓合约已经达到4.2亿美元,年初至今增长了22%。这一峰值可能受到未来70天莱特币即将到来的减半事件的影响。CoinGecko数据显示,莱特币本月小幅上涨,从86美元涨至92美元,涨幅近7%。在过去一年里,它的哈希率也大幅飙升,为该资产的概况增加了另一个有利的指标。[2023/5/24 15:21:46]

首先我们需要知道什么是闪兑?

很多加密钱包出了闪兑功能,之所以叫这个名字主要就是因为不同数字货币之间的交易速度很快,因为闪兑不需要像交易所那样来撮合买方和卖方之间的订单,闪兑更像是柜台交易,就像去银行拿美元兑换人民币,在汇率已知的情况下,给多少美元,银行就会根据汇率兑换给你相应数量的人民币。

闪兑除了兑换交易速度快之外,还有一些其他的功能,这也是很多用户使用它的原因。

AOFEX将于16日17:00上线FIL、ZEC、NEAR、STORJ永续合约:据官方消息,AOFEX交易所将于10月16日17:00正式上线FIL、ZEC、NEAR、STORJ永续合约,最高支持50倍杠杆。

AOFEX永续合约为USDT本位合约(正向合约),支持双向交易和最高100倍杠杆,提供普通限价委托、市价委托、计划委托等多种委托方式。

AOFEX数字货币金融衍生品交易所,旨在为用户提供优质服务和资产安全保障。[2020/10/16]

下面,我们回到本次事件技术层面来分析。

BSC链上的攻击交易:

https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189

独家 | Bakkt期货合约数据一览:金色财经报道,Bakkt Volume Bot数据显示,5月26日,Bakkt比特币月度期货合约单日交易额为3505万美元,同比增长185%,未平仓合约量为757万美元,同比下降6%。[2020/5/27]

以太坊上的攻击交易:

https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7

用户进行swap兑换时,正常流程是先通过TransitCrossRouterv3合约选择路由合约,随后通过TransitSwap&CrossApproveProxy合约进行权限验证后,调用claimTokens函数将用户兑换的token转入路由合约中。而TransitSwap合约实现时,上述三个合约均未对用户输入数据进行正确的验证,导致攻击者可以构造出任意指定的兑换数据calldata,其中可以将授权过的用户的代币转入攻击者指定的任意地址之中。

CFTC与芝商所(CME)和Cboe环球市场公司合作为比特币合约设定监督标准:据美国商品期货交易委员会(CFTC)主席Chris Giancarlo表示,CFTC与芝商所(CME)和Cboe环球市场公司进行了合作,确保他们“为这些比特币合约设定适当的监督标准”。[2017/12/3]

这个合约未对下面的calldata进行验证,解析后为下图的input,里面指定了收款人为攻击者地址。

攻击者就通过这种方式,共获利约2100万美元。随后将资金归集到获利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,

但是项目方依然没有放弃,随后TransitSwap官方发布公告称,目前已确定黑客IP、电子邮件地址,以及相关的链上地址。TransitSwap团队表示将尽力追踪黑客,并尝试与黑客沟通,帮助用户挽回损失。

随着事件的影响力扩大,攻击者似乎也知道真实身份难保。也可能是被项目方“感化”,这位攻击者决定退回盗取的资产。

截止发稿前,目前攻击者已将BNB链上的37,000BNB和1500ETH,以太坊上的3,180ETH归还给项目方。2500BNB被转移到Tornado.Cash,剩余的12,612BNB仍在攻击者地址上,价值约356万美元。成都链安链必追-虚拟货币案件智能研判平台正在对被盗资金进行实时追踪。

从本次事件,我们可以看到,合约授权依然潜藏着诸多风险。

来源:成都链安

标签:ANSRANSWAPNSIWitcher FansRANTSLMCSWAPSENSI币

Uniswap热门资讯
WEB:哈佛大学教授:Web3如何让互联网变得更公平、公正?_HotMoon Token

Web3提供了进行有意义的课程修正的机会——一个重新构想互联网并从第一原则构建新平台的机会。 原文:《ATheoryofJusticeforWeb3》byLiJinandKatieParrott.

1900/1/1 0:00:00
区块链:晚间必读 | Web3 社交与游戏融合的万字浅析_OIN

1.金色观察|Cardano?Vasil升级上线将带来什么继以太坊合并硬分叉升级之后,Cardano?也迎来了其自去年9月Alonzo硬分叉以来最重要的升级——Vasil硬分叉.

1900/1/1 0:00:00
NFT:Delphi 研究员:PFP NFT 下一步将走向何方?_比特币钱包官网

PFP需要认真思考这三点才能生存下去。?原文标题:《PFPNFT下一步将走向何方?》撰文:Teng,DelphiDigital研究员PFP他们曾经是NFT领域的宠儿,但在近几个月的冲击下,现在下.

1900/1/1 0:00:00
元宇宙:元宇宙中金融服务的未来_WEB

?今年,元宇宙作为一个火热的概念已经渗透到广大媒体的大部分技术板块中,在Facebook于2021年11月更名为Meta时,这一概念就已经进入了大众的视野.

1900/1/1 0:00:00
ETH:ENS 生意经:域名 Degens 是如何发家致富的?_ENS

我们分析了ENS域名交易实现利润最高的8个地址,找到了他们收获财富的秘诀。撰文:Karen,ForesightNews近几个月以来,ENS域名持续升温,公司名称域名、数字域名、名字或姓氏、Emo.

1900/1/1 0:00:00
NFT:金色Web3.0日报 | Coinbase在荷兰获得了监管机构的批准_Artwork NFT

DeFi数据1.DeFi代币总市值:442.11亿美元 DeFi总市值数据来源:coingecko2.过去24小时去中心化交易所的交易量29.

1900/1/1 0:00:00