TPS:丧心病狂再「炸桥」，跨链桥项目Meter.io损失420万美元

这是继昨日CertiK发布的Solana跨链桥虫洞项目被攻击事件分析后的又一起黑客袭击跨链桥项目事件。

漏洞利用交易

虚假存款:https://bscscan.com/tx/0x63f37aff7e40b85b0a6b3fd414389f6011cc09b276dc8e13b6afa19061f7ed8ehttps://etherscan.io/tx/0x2d3987963b77159cfe4f820532d729b0364c7f05511f23547765c75b110b629chttps://bscscan.com/tx/0xc7eb98e00d21ec2025fd97b8a84af141325531c0b54aacc37633514f2fd8ffdchttps://etherscan.io/tx/0xdfea6413c7eb3068093dcbbe65bcc9ba635e227c35e57fe482bb5923c89e31f7https://bscscan.com/tx/0x5d7cd17bfeb944390667c76f4fc2786f748dc3eb363c01c24b92becaaf5690b4铸币:https://bscscan.com/tx/0xf70b4aa715c0a04079c56cd9036cc63cdb6101e400520a8f2c019ad2ced5358ehttps://moonriver.moonscan.io/tx/0x689ff22ebf7f7aa6ecf0d60345979855442a09dfb7439c8553b2369e6e130409https://etherscan.io/tx/0xd619ace8a8cca2f7eb72dbc0a896fc2d4d8b20aa11f4d747f1a5333305bbb875https://moonriver.moonscan.io/tx/0xc7f764644e9af42714d98763b7e8dcf5e1de6b855b63e2c6ff2438e09b61ccc7黑客

BTC最后活跃供应量1-2年达到15个月低点:金色财经报道，据Glassnode数据显示，BTC最后活跃供应量1-2年刚刚达到2,609,476.989 BTC，达到15个月低点。[2023/5/7 14:48:28]

黑客链上转账记录：https://debank.com/profile/0x8d3d13cac607b7297ff61a5e1e71072758af4d01/history转账地址：0x8d3d13cac607b7297ff61a5e1e71072758af4d01合约地址

Bridge以太坊：https://etherscan.io/address/0xa2a22b46b8df38cd7c55e6bf32ea5a32637cf2b1币安智能链：https://bscscan.com/address/0xfd55ebc7bbde603a048648c6eab8775c997c1001Moonriver(moonbream)：https://moonriver.moonscan.io/address/0xf41e7fc4ec990298d36f667b93951c9dba65224eERC20HandlerEthereum：https://etherscan.io/address/0xde4fc7c3c5e7be3f16506fcc790a8d93f8ca0b40BSC：https://bscscan.com/address/0x5945241bbb68b4454bb67bd2b069e74c09ac3d51攻击流程

CHZ（Chiliz）上涨触及0.179美元，24小时涨幅27.38%:金色财经报道，行情数据显示，CHZ（Chiliz）上涨触及 0.179 美元，现报价 0.177 美元，24 小时涨幅 27.38%。行情波动较大，请做好风险控制。

此前报道，Chiliz开发的EVM兼容链已产生创世区块。[2023/2/8 11:54:34]

步骤一：攻击者调用`Bridge.deposit()`函数，将0.008BNB存入连接到多个链的合约Bridge，包括币安智能链、以太坊以及Moonriver。

在函数调用`Bridge.deposit()中，攻击者注入了以下恶意数据：

马斯克推特粉丝数量突破1.258亿，每24小时增加10万粉丝:1月16日消息，推特掌舵者、首席执行官埃隆?马斯克目前的粉丝数量已经超过1.258亿。BigTesla在推文中表示：“马斯克的粉丝数量已经突破1.258亿，每24小时增加10万粉丝”。[2023/1/16 11:14:21]

步骤二：`Bridge.deposit()`调用了`ERC20Handler.deposit()`函数，输入内容如下：

步骤三：由于输入的resourceID是"0x000000000000bb4cdb9cbd36b01bd1cbaebf2de08d9173bc095c01”，token地址将为`0xbb4cdb9cbd36b01bd1cbaebf2de08d9173bc095c`，这与`_wtokenAddress`相同。

币安已委托CryptoQuant负责出具比特币储备证明报告:12月18日消息，在审计机构Mazars宣布暂停为加密货币客户提供服务后，币安已委托CryptoQuant出具比特币储备证明报告。CryptoQuant报告显示，97%的币安比特币客户存款由交易所资产抵押，如果算上借给客户的比特币，这一比例将上升至101%。

CryptoQuant表示，与FTX不同，币安的原生代币(BNB)在其储备中所占的份额并不大。币安没有面临类似于FTX的问题。（Beincrypto）[2022/12/18 21:52:07]

步骤四：这种情况下，一旦该指令通过，将导致攻击者实际上不需要向合约转移任何代币即可获得。步骤五：因此，攻击者可以在其他链上铸造"数据"中指定的任何相同数量的代币。合约漏洞分析

Hop Protocol正在制定新的空投标准:5月24日消息，在Optimism从空投名单中删除1.7万个女巫地址后，跨链桥Hop Protocol也发推称，正在制定新的空投标准。

5月初，Hop Protocol宣布成立Hop DAO并将发行代币HOP，HOP总量10亿枚，8%将空投给早期用户，其中，3.35%将分配给Hop跨链桥用户（最少两次跨链交易及至少1000美元的交易量）；2%分配给流动性提供者；2%分配给Bonders；0.1%分配给Hop Protocol前500名Discord用户和前79名Twitter用户；0.05%分配给外部贡献者；0.5%分配给过去已部署账户的Authereum用户。Hop Protocol团队表示，在符合空投条件的43058个地址中，已有10253个地址确认为女巫攻击地址并已删除，团队仍将继续奖励报告女巫攻击地址的用户。[2022/5/24 3:38:02]

一般来说deposit()用于ERC20代币的存款，depositETH()用于WETH/WBNB代币的存款。Bridge合约提供了两个方法：deposit()和depositETH()。然而，这两个方法造成了相同事件，并且deposit()函数并没有阻止WETH/WBNB的存款交易，因为deposit()没有烧毁或锁定WETH/WBNB。黑客通过使用deposit()来制作假的存款事件，在没有任何真实存款的情况下，将WETH/WBNB存入。

资产追踪

黑客地址：https://debank.com/profile/0x8d3d13cac607b7297ff61a5e1e71072758af4d01/history几乎所有的资产都已转移到Tornado。

总结

这一事件与前不久发生的Qubit事件非常相似。一个黑客事件的发生往往会使更多别有用心之人关注类似项目中是否有类似的漏洞可以利用。因此，项目方的技术团队应及时关注已发生的安全事件，并且检查自己的项目中是否存在类似问题。目前，CertiK官网已添加社群预警功能。在官网上，大家可以随时看到与漏洞、黑客袭击以及rugpull相关的各种社群预警信息。

作为区块链安全领域的领军者，CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止，CertiK已获得了2500家企业客户的认可，保护了超过3110亿美元的数字资免受损失。

标签：TPSHTTCANSCANhttps://etherscan.iohtt币被MCAN价格https://etherscan.io

莱特币最新价格热门资讯