2022年10月2日,據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示,Transit Swap 項目遭受攻擊,被盜約2100萬美元。關于本次事件,成都鏈安安全團隊第一時間進行了分析。
首先在今早發現被盜后,Transit Swap 技術團隊緊急暫停服務,無法進行任何操作,很多用戶也在社交平臺紛紛表示自己錢包的資產被盜。
據悉,本次事件的主角Transit Swap是某加密錢包下的閃兌交易平臺。
58COIN交易所交割合約24H行情9:00播報:截至9:00,據58COIN交易所交割合約行情:
BTC合約現報價7204.50美元,較現貨貼水17.79美元,24h漲跌幅2.13%。成交量23935.66萬手,成交額343095.41萬美元,當前持倉總量319.48萬手,較上一交易日變化-13.46萬手。
EOS合約現報價2.70美元,較現貨貼水0.0054美元,24h漲跌幅2.70%。成交量352.60萬手,成交額1891.61萬美元,當前持倉總量397.91萬手,較上一交易日變化-14.19萬手。
ETH合約現報價185.84美元,較現貨貼水0.47美元,24h漲跌幅7.78%。成交量1235.59萬手,成交額11128.27萬美元,當前持倉總量222.81萬手,較上一交易日變化9.70萬手。[2020/4/19]
首先我們需要知道什么是閃兌?
公告 | Taxa Network已通過區塊鏈安全公司CertiK智能合約安全審計:Taxa團隊宣布已通過區塊鏈安全公司CertiK智能合約的安全審計,這將確保Taxa主網在今年春天順利發布。CertiK的智能標簽對TXT智能合約源代碼進行了100%形式化驗證覆蓋,并輔以安全專家人工逐行審核。審計結果認為TXT智能合約結構堅固,不存在整數溢出、函數錯誤、緩沖區溢出等漏洞。[2020/2/13]
很多加密錢包出了閃兌功能,之所以叫這個名字主要就是因為不同數字貨幣之間的交易速度很快,因為閃兌不需要像交易所那樣來撮合買方和賣方之間的訂單,閃兌更像是柜臺交易,就像去銀行拿美元兌換人民幣,在匯率已知的情況下,給多少美元,銀行就會根據匯率兌換給你相應數量的人民幣。
分析 | OKEx BTC季度合約在8800USD附近成交兩筆大額賣單 或為主力少部分平多:AICoin PRO版K線主力大單跟蹤顯示:在BTC季度合約價格上升至8800USD時,OKEx BTC季度合約在8800USD有兩筆大額委托賣單成交,成交總額超過330萬美元。結合AI-PD-持倉差值分析,這一過程主要為負值,即持倉量減少,因此這些大額買單或為主力平多。但與此前開倉情況對比,這僅為少部分主力多頭平倉。[2020/1/27]
閃兌除了兌換交易速度快之外,還有一些其他的功能,這也是很多用戶使用它的原因。
下面,我們回到本次事件技術層面來分析。
分析 | 全球合約市場成交大單1.1億美元 行情處于盤整關鍵期:據合約帝全球市場期貨合約大單成交統計顯示,24小時內全球合約市場成交大單總額共計1.1億美元,大額多單3914萬美元,大額空單7365萬美元。其中OKEx交易所成交大額BTC季度多單106萬美元,大額空單2328萬美元,ETH成交大額季度空單118萬美元,XRP成交大額季度空單20.8萬美元,LTC成交大額季度多單164萬美元,大額空單130萬美元;BitMEX交易所成交大額BTC永續多單3405萬美元,大額空單4485萬美元;Huobi交易所成交大額多單240萬美元,大額空單284萬美元。據合約帝入駐交易員天啟資本Flora分析,當前處于日線回調周期中,幣安現貨比特幣價格10260美金可以作為重要支撐點位,若行情在10260美金以上盤整則處于強勢,盤面依然有希望上攻13000美金;若擊穿10260美金,將會向下測試9500~7500美金支撐區域。[2019/7/1]
BSC鏈上的攻擊交易:
https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189
以太坊上的攻擊交易:
https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7
用戶進行swap兌換時,正常流程是先通過Transit Cross Router v3合約選擇路由合約,隨后通過Transit Swap&Cross Approve Proxy合約進行權限驗證后,調用claimTokens函數將用戶兌換的token轉入路由合約中。而Transit Swap 合約實現時,上述三個合約均未對用戶輸入數據進行正確的驗證,導致攻擊者可以構造出任意指定的兌換數據calldata,其中可以將授權過的用戶的代幣轉入攻擊者指定的任意地址之中。
這個合約未對下面的calldata進行驗證,解析后為下圖的input,里面指定了收款人為攻擊者地址。
攻擊者就通過這種方式,共獲利約2100萬美元。隨后將資金歸集到獲利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,
但是項目方依然沒有放棄,隨后Transit Swap 官方發布公告稱,目前已確定黑客 IP、電子郵件地址,以及相關的鏈上地址。Transit Swap 團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。
隨著事件的影響力擴大,攻擊者似乎也知道真實身份難保。也可能是被項目方“感化”,這位攻擊者決定退回盜取的資產。
截止發稿前,目前攻擊者已將BNB鏈上的37,000 BNB 和1500 ETH,以太坊上的3,180 ETH歸還給項目方。2500 BNB被轉移到Tornado.Cash,剩余的12,612 BNB仍在攻擊者地址上,價值約356萬美元。成都鏈安鏈必追-虛擬貨幣案件智能研判平臺正在對被盜資金進行實時追蹤。
從本次事件,我們可以看到,合約授權依然潛藏著諸多風險。
來源:成都鏈安
財經法學
金色早8點
鏈捕手
PANews
Bress
Odaily星球日報
區塊律動BlockBeats
Tags:NSITRANSSWAPTRAInsight ChainTransdata ChainKing SwapDecentral Games [new]
來源:The Defiant編譯:比推Bitpush News Mary Liu合并(The Merge)無疑是迄今為止最重要的 Web3 網絡升級,其影響不僅僅是共識機制的切換和降低能耗.
1900/1/1 0:00:00撰文:Noah Citron編譯:PANews,王爾玉11月8日,a16z Crypto推出了以太坊輕客戶端Helios,基于Rust語言進行編寫,提供完全無需信任的以太坊訪問.
1900/1/1 0:00:00以太坊上的交易緩慢且成本高昂。在許多情況下,DEX執行一筆價值較小的兌換交易所需要支付的 gas 費用可能比交易本身的價值更昂貴.
1900/1/1 0:00:00來源:老雅痞 夜店經濟屬于荷爾蒙經濟,古老的經濟模型經久不衰。游戲其實也算荷爾蒙經濟,那么Web3游戲,可以從經典的夜店經濟里獲得什么新的靈感呢?推薦閱讀本文,絕對腦洞大開.
1900/1/1 0:00:00從互操作性角度,波卡等原生型多層結構要優于 Layer 2 等后天型,因為前者可實現信息流轉和智能合約調用.
1900/1/1 0:00:00在你心目中,NFT 代表了什么?買 NFT 的目的是什么?一些人可能是為了新奇或者當作收藏,另一些人可能是為了 NFT 的某種功能屬性,比如用在鏈游中的道具.
1900/1/1 0:00:00