火星链 火星链
Ctrl+D收藏火星链
首页 > SAND > 正文

NSI:合约授权的风险:Transit Swap 被盗约2100万美元事件分析

作者:

时间:1900/1/1 0:00:00

2022年10月2日,据成都链安鹰眼-区块链安全态势感知平台舆情监测显示,Transit Swap 项目遭受攻击,被盗约2100万美元。关于本次事件,成都链安安全团队第一时间进行了分析。

首先在今早发现被盗后,Transit Swap 技术团队紧急暂停服务,无法进行任何操作,很多用户也在社交平台纷纷表示自己钱包的资产被盗。

据悉,本次事件的主角Transit Swap是某加密钱包下的闪兑交易平台。

火币合约上线永久返佣机制,交易返佣权益达60%:据火币合约官网公告,为持续扩大邀请返佣合作伙伴的权益,火币合约返佣机制大升级,原有40%返佣权益升级为60%,最高时长为永久返佣。

据悉,火币合约当前返佣奖励已支持币本位交割合约和币本位永续合约,根据所邀用户的交易人数和金额,返佣渠道分为3个等级,返佣比例均为60%,历史有效邀请用户产生的新交易也将纳入60%返佣,返佣时长分为1年、2年、无限期共三档,渠道等级越高,返佣时间越长,每个渠道和被邀请人返佣金额上限越高。详情请查看火币合约官网公告。[2021/2/25 17:52:05]

首先我们需要知道什么是闪兑?

24小时合约市场爆仓超2.94亿美元:据合约帝行情统计报告显示:过去24小时合约市场全网总计爆仓2.94亿美元,爆仓人数21524人。其中,Huobi爆仓9632万美元,OKEx爆仓5553万美元,BitMEX爆仓5766万美元,Binance爆仓3979万美元,Bybit爆仓4496万美元。爆仓金额前三的币种是BTC1.8亿美元,ETH5637万美元,EOS2673万美元。[2020/8/26]

很多加密钱包出了闪兑功能,之所以叫这个名字主要就是因为不同数字货币之间的交易速度很快,因为闪兑不需要像交易所那样来撮合买方和卖方之间的订单,闪兑更像是柜台交易,就像去银行拿美元兑换人民币,在汇率已知的情况下,给多少美元,银行就会根据汇率兑换给你相应数量的人民币。

主流交易所合约持仓多空一览:据合约帝持仓数据显示,当前火币BTC合约精英账户数多空比为54.00%(多头):45.00%(空头),精英持仓量多空比为48.10%(多头):51.90%(空头);

OK BTC合约精英趋向指标做多账户比例为55.0%,做空账户比例为41.0%,精英持仓多头平均持仓比例为16.00%,空头平均持仓比例为20.11%;

币安BTC合约持大户账户数多空比例为46.40%(多仓):53.60%(空仓),大户持仓量多空比为54.2%(多仓):45.8%(空仓)。[2020/4/11]

闪兑除了兑换交易速度快之外,还有一些其他的功能,这也是很多用户使用它的原因。

动态 | 24小时合约市场爆仓超5481万美元 BTC合约爆仓2376万美元:据合约帝行情统计报告显示:过去24小时合约市场全网总计爆仓5481万美元,爆仓人数4131人。其中Huobi 爆仓651万美元,OKEx爆仓1283万美元,Binance爆仓2199万美元,BitMEX爆仓1349万美元。爆仓金额前三的币种是BTC2376万美元,ETH1557万美元,BCH646万美元。[2020/2/15]

下面,我们回到本次事件技术层面来分析。

BSC链上的攻击交易:

https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189

以太坊上的攻击交易:

https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7

用户进行swap兑换时,正常流程是先通过Transit Cross Router v3合约选择路由合约,随后通过Transit Swap&Cross Approve Proxy合约进行权限验证后,调用claimTokens函数将用户兑换的token转入路由合约中。而Transit Swap 合约实现时,上述三个合约均未对用户输入数据进行正确的验证,导致攻击者可以构造出任意指定的兑换数据calldata,其中可以将授权过的用户的代币转入攻击者指定的任意地址之中。

这个合约未对下面的calldata进行验证,解析后为下图的input,里面指定了收款人为攻击者地址。

攻击者就通过这种方式,共获利约2100万美元。随后将资金归集到获利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,

但是项目方依然没有放弃,随后Transit Swap 官方发布公告称,目前已确定黑客 IP、电子邮件地址,以及相关的链上地址。Transit Swap 团队表示将尽力追踪黑客,并尝试与黑客沟通,帮助用户挽回损失。

随着事件的影响力扩大,攻击者似乎也知道真实身份难保。也可能是被项目方“感化”,这位攻击者决定退回盗取的资产。

截止发稿前,目前攻击者已将BNB链上的37,000 BNB 和1500 ETH,以太坊上的3,180 ETH归还给项目方。2500 BNB被转移到Tornado.Cash,剩余的12,612 BNB仍在攻击者地址上,价值约356万美元。成都链安链必追-虚拟货币案件智能研判平台正在对被盗资金进行实时追踪。

从本次事件,我们可以看到,合约授权依然潜藏着诸多风险。

来源:成都链安

财经法学

金色早8点

链捕手

PANews

Bress

Odaily星球日报

区块律动BlockBeats

标签:TRANSSWAPRANNSITRANSPARENT币PantherSwapBRANDt23币juliensimon

SAND热门资讯
区块链:Enjin 联合创始人:建立标准将是元宇宙未来成功的关键

去中心化的互联网目前可以理解为一个独立的国家,而不是一个统一的领土。撰写:Witek Radomski?编译:深潮 TechFlow?? 通用编程标准在数字世界并不新鲜,毕竟互联网在很大程度上是.

1900/1/1 0:00:00
NSUR:火币新东家“百域资本”是什么来头?

作者:月饼,区块链星球10月8日,火币创始人李林在朋友圈表示,已经将旗下股权转让与香港百域资本(About Capital ),至此香港百域资本成为第一大股东和是实控人.

1900/1/1 0:00:00
区块链:上海海事法院推出《区块链证据审查指南》

近日,上海海事法院召开“区块链技术应用对海事司法的影响与服务保障需求”专题研讨会,推出《区块链证据审查指南》,并对编制背景和主要内容进行了发布和解读.

1900/1/1 0:00:00
WEB3:马斯克:现在不是在加密货币技术中挑选技术赢家或输家的时候 不该仓促立法

Coinbase首席执行官Brian Armstrong今日发推表示,有几个关键时刻决定了加密的未来.

1900/1/1 0:00:00
AIN:加密货币市场高速增长 中东和北非增速达48%

FX168财经报社(北美)讯 周三(10月5日)区块链研究机构Chainalysis在一份报告中称,中东和北非是世界上增长最快的加密货币市场,截至今年6月,这一地区的加密货币接收量增长了48%.

1900/1/1 0:00:00
LAS:音乐NFT项目的价值在哪里?盘点古典音乐NFT项目专辑中的“米其林三星”

音乐正在渗透生活娱乐、社交和消费的方方面面。我们也看到一些行业层面的新趋势:“听觉工业”正逐渐向 “区块链工业”转变,音乐的各种想象力正在发挥着,也让音乐到消费的链路更加通顺.

1900/1/1 0:00:00