2022年10月2日,據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示,TransitSwap項目遭受攻擊,被盜約2100萬美元。關于本次事件,成都鏈安安全團隊第一時間進行了分析。
首先在今早發現被盜后,TransitSwap技術團隊緊急暫停服務,無法進行任何操作,很多用戶也在社交平臺紛紛表示自己錢包的資產被盜。
據悉,本次事件的主角TransitSwap是某加密錢包下的閃兌交易平臺。
當前BTC全網合約持倉總量107.87億美元 24小時增加0.8億美元:據合約帝持倉報告顯示,當前全網合約持倉總量為107.87億美元,24小時增加0.8億美元。其中,Huobi合約21.65億美元,24小時增加2.61%;OKEx合約25.64億美元,24小時增加4.41%;BitMEX合約10.05億美元,24小時增加2.31%;Binance合約19.43億美元,24小時減少3.11%;Bybit合約31.04億美元,24小時減少1.70%。[2021/4/6 19:51:11]
首先我們需要知道什么是閃兌?
很多加密錢包出了閃兌功能,之所以叫這個名字主要就是因為不同數字貨幣之間的交易速度很快,因為閃兌不需要像交易所那樣來撮合買方和賣方之間的訂單,閃兌更像是柜臺交易,就像去銀行拿美元兌換人民幣,在匯率已知的情況下,給多少美元,銀行就會根據匯率兌換給你相應數量的人民幣。
當前BTC全網合約持倉總量為34.63億美元 24小時增加1.37億美元:據合約帝持倉報告顯示,當前全網合約持倉總量為34.63億美元,24小時增加1.37億美元。其中,Huobi合約7.27億美元,24小時增加1.58%;OKEx合約8.88億美元,24小時增加0.24%;BitMEX合約4.58億美元,24小時增加3.94%;Binance合約7.41億美元,24小時增加7.73%;Bybit合約6.43億美元,24小時增加5.98%。[2020/12/3 23:01:18]
閃兌除了兌換交易速度快之外,還有一些其他的功能,這也是很多用戶使用它的原因。
金色財經合約行情分析 | BTC振幅收窄,短時波動加劇:據火幣BTC永續合約行情顯示,截至今日16:00(GMT+8),BTC價格暫報9761美元(+2.05%),20:00(GMT+8)結算資金費率為0.010000%。
昨日晚至今,BTC振幅不斷收窄,短時上下波動加劇。根據火幣交割合約數據,BTC季度合約成交額出現一定上漲,持倉量增加,精英多頭占比略減,季度合約升水增加。BTC價格維持在9500美元-9900美元之間,市場費率結構偏樂觀,隨著振幅收窄,上升楔形結構的變化概率逐漸加大。
USDT于火幣全球站OTC的報價為7.04元,溢價率為-0.89%。[2020/5/20]
下面,我們回到本次事件技術層面來分析。
動態 | 投機者所持CBOE比特幣期貨凈空頭頭寸增至1297手合約:CFTC外匯持倉周報:至10月2日當周,投機者所持美元凈多頭頭寸增加35.1億美元,至266.8億美元,創2016年12月中期以來新高,為連續第16周出現凈多頭頭寸;4月17日當周,曾以234.2億美元創2011年8月第一周以來凈空頭最高位。投機者所持CBOE比特幣期貨凈空頭頭寸增加58手合約,至1297手合約;9月11日當周,以1239手合約創2017年12月份上線交易比特幣期貨合約以來的單周最低。[2018/10/6]
BSC鏈上的攻擊交易:
https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189
以太坊上的攻擊交易:
https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7
用戶進行swap兌換時,正常流程是先通過TransitCrossRouterv3合約選擇路由合約,隨后通過TransitSwap&CrossApproveProxy合約進行權限驗證后,調用claimTokens函數將用戶兌換的token轉入路由合約中。而TransitSwap合約實現時,上述三個合約均未對用戶輸入數據進行正確的驗證,導致攻擊者可以構造出任意指定的兌換數據calldata,其中可以將授權過的用戶的代幣轉入攻擊者指定的任意地址之中。
這個合約未對下面的calldata進行驗證,解析后為下圖的input,里面指定了收款人為攻擊者地址。
攻擊者就通過這種方式,共獲利約2100萬美元。隨后將資金歸集到獲利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,
但是項目方依然沒有放棄,隨后TransitSwap官方發布公告稱,目前已確定黑客IP、電子郵件地址,以及相關的鏈上地址。TransitSwap團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。
隨著事件的影響力擴大,攻擊者似乎也知道真實身份難保。也可能是被項目方“感化”,這位攻擊者決定退回盜取的資產。
截止發稿前,目前攻擊者已將BNB鏈上的37,000BNB和1500ETH,以太坊上的3,180ETH歸還給項目方。2500BNB被轉移到Tornado.Cash,剩余的12,612BNB仍在攻擊者地址上,價值約356萬美元。成都鏈安鏈必追-虛擬貨幣案件智能研判平臺正在對被盜資金進行實時追蹤。
從本次事件,我們可以看到,合約授權依然潛藏著諸多風險。
來源:成都鏈安
Tags:BTCTRANSITRANSCBTC價格Decentralized SocialAscension ProtocolData Transaction
數據透明度是Web3的核心設計原則之一。 撰文:0x4a07 編譯:aididiaojp.eth,ForesightNewsWeb3是互聯網的新范例,它使人們能夠以前所未有的方式進行協作.
1900/1/1 0:00:00編譯:RR 信息來源自mirror?,略有修改,作者KailiWang 本文轉自公號:老雅痞 區塊鏈交易的不可變性既是一種祝福也是一種詛咒.
1900/1/1 0:00:00在DeFi市場,「點對池」的設計與使用,為深受流動性桎梏的協議提供可行性的解決方案。前不久,備受推崇的NFT交易平臺Sudoswap,同樣也成為該模式的使用者與受益者.
1900/1/1 0:00:00DeFi數據 1.DeFi代幣總市值:443.35億美元 DeFi總市值數據來源:coingecko2.過去24小時去中心化交易所的交易量34.
1900/1/1 0:00:00過去24小時,美元指數在攀升至約20年來的最高水平后稍作喘息,回到114關口下方,這給風險資產反彈帶來了短暫的機會。比特幣一度突破20,000美元,觸及一周多以來的最高水平.
1900/1/1 0:00:00來源:Blockworks“眼看他起高樓,眼看他宴賓客,眼看他樓塌了”。就在12個月前,BlockFi正在如火如荼的開展業務.
1900/1/1 0:00:00