2022年10月2日,据成都链安鹰眼-区块链安全态势感知平台舆情监测显示,TransitSwap项目遭受攻击,被盗约2100万美元。关于本次事件,成都链安安全团队第一时间进行了分析。
首先在今早发现被盗后,TransitSwap技术团队紧急暂停服务,无法进行任何操作,很多用户也在社交平台纷纷表示自己钱包的资产被盗。
据悉,本次事件的主角TransitSwap是某加密钱包下的闪兑交易平台。
AOFEX永续合约:BTC多空持仓人数比0.92,ETH多空持仓人数比0.96:AOFEX交易大数据显示,截至11月25日14:00,BTC永续合约多空持仓人数比为0.92,市场做空人数占优,基差小于0.5USDT,24小时成交约9.22亿张;ETH永续合约多空持仓人数比为0.96,市场做空人数占优,基差小于0.05USDT,24小时成交约3.77亿张;BTC千倍合约多空持仓人数比为1.04,市场做多人数占优,基差小于1USDT,24小时成交约1.88亿张。
?AOFEX数字货币金融衍生品交易所,旨在为用户提供优质服务和资产安全保障。[2020/11/25 22:04:50]
首先我们需要知道什么是闪兑?
很多加密钱包出了闪兑功能,之所以叫这个名字主要就是因为不同数字货币之间的交易速度很快,因为闪兑不需要像交易所那样来撮合买方和卖方之间的订单,闪兑更像是柜台交易,就像去银行拿美元兑换人民币,在汇率已知的情况下,给多少美元,银行就会根据汇率兑换给你相应数量的人民币。
24小时BTC全网合约成交数据显示:多方占优:据合约帝数据显示,最近24小时BTC全网合约成交量中开多比例为51.44%,开空比例为48.56%。主流合约交易所中,Huobi季度开多比例为52.43%,开空比例为47.57%;OKEx季度开多比例为54.32%,开空比例为45.68%;BitMEX合约开多比例为48.73%,开空比例为51.27%。[2020/11/2 11:25:56]
闪兑除了兑换交易速度快之外,还有一些其他的功能,这也是很多用户使用它的原因。
下面,我们回到本次事件技术层面来分析。
BSC链上的攻击交易:
https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189
24小时合约市场爆仓超4929万美元 BTC合约爆仓4052万美元:据合约帝行情统计报告显示:过去24小时合约市场全网总计爆仓4929万美元,爆仓人数4650人。其中,Huobi爆仓1864万美元,OKEx爆仓1350万美元,Binance爆仓1299万美元,Bybit爆仓413万美元。爆仓金额前三的币种是BTC4052万美元,ETH268万美元,BSV爆仓66.97万美元。[2020/9/28]
以太坊上的攻击交易:
https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7
用户进行swap兑换时,正常流程是先通过TransitCrossRouterv3合约选择路由合约,随后通过TransitSwap&CrossApproveProxy合约进行权限验证后,调用claimTokens函数将用户兑换的token转入路由合约中。而TransitSwap合约实现时,上述三个合约均未对用户输入数据进行正确的验证,导致攻击者可以构造出任意指定的兑换数据calldata,其中可以将授权过的用户的代币转入攻击者指定的任意地址之中。
动态 | 火币永续合约将于近期上线 收入将纳入到HT的销毁范围内:2月15日,火币全球站发布了2020年1月份HT运营月报。月报披露的近期规划显示,HBDM永续合约已开始内测,并将于近期上线。永续合约业务也将纳入到HT的销毁范围内,具体方式和比例参照火币全球站此前执行的公告。同时HBDM近期还将支持HT作为合约担保资产,针对低风险用户上线HT质押借币合约资产,HT资产属性得到进一步加强。市场分析人士表示,如果按照2019年火币交割合约的增长速度,火币永续合约预估将提升HT销毁量30%以上。[2020/2/15]
这个合约未对下面的calldata进行验证,解析后为下图的input,里面指定了收款人为攻击者地址。
攻击者就通过这种方式,共获利约2100万美元。随后将资金归集到获利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,
但是项目方依然没有放弃,随后TransitSwap官方发布公告称,目前已确定黑客IP、电子邮件地址,以及相关的链上地址。TransitSwap团队表示将尽力追踪黑客,并尝试与黑客沟通,帮助用户挽回损失。
随着事件的影响力扩大,攻击者似乎也知道真实身份难保。也可能是被项目方“感化”,这位攻击者决定退回盗取的资产。
截止发稿前,目前攻击者已将BNB链上的37,000BNB和1500ETH,以太坊上的3,180ETH归还给项目方。2500BNB被转移到Tornado.Cash,剩余的12,612BNB仍在攻击者地址上,价值约356万美元。成都链安链必追-虚拟货币案件智能研判平台正在对被盗资金进行实时追踪。
从本次事件,我们可以看到,合约授权依然潜藏着诸多风险。
来源:成都链安
标签:SWAPNSITRANSRANSundaeSwapSensible Finance[OLD]Transientfranklin币FlY币团队
在一系列破坏性的黑客攻击之后,跨链桥还安全么?跨链桥使数据和资金能够在区块链之间自由流动,从而在多链世界中发挥不可或缺的作用.
1900/1/1 0:00:00摘要:OokiDAO近日被诉讼,而在DAO里投过票的成员可能需要共同承担责任。这一情况令人震惊,但它早就在众多法律人士的预期当中.
1900/1/1 0:00:00来源:加密投资公司CoinArkCapital编译:比推BitpushNews,MaryLiu在各大财经文章中,我们经常看到诸如“市场Beta”和“Alpha”之类的术语.
1900/1/1 0:00:00由以太坊基金会主办的、2022年以太坊社区最期待的盛事、第6届以太坊开发者大会DEVCONVI于2022年10月11日至14日在哥伦比亚首都波哥大举行.
1900/1/1 0:00:00按:2022年10月7日币安链跨链桥遭遇黑客攻击,随后币安链验证者节点在币安要求下暂停币安链。加密社区不少人质疑币安链的中心化问题.
1900/1/1 0:00:00摘要作为第三代区块链,CosmosSDK和TendermintBFT降低了开发和运行公链的门槛.
1900/1/1 0:00:00