据慢雾区情报,2022年01月28日,Qubit项目的QBridge遭受攻击,损失约8000万美金。慢雾安全团队进行分析后以简析的形式分享给大家。
简要分析
1.攻击者通过ETH上的QBridge合约进行存款操作,存款时传入所要跨的目标链destinationDomainID、所要跨链的资产resourceID以及跨链资金数量与接收地址等参数构成的data。2.攻击者指定传入的resourceID为跨ETHToken所需要的值,但其调用的是QBridge的deposit函数而非depositETH函数,因此首先绕过了跨链资金数量与msg.value的检查。deposit函数会根据resourceID从映射中取出handler地址进行充值,由于攻击者传入的是真实的跨ETHToken所需要的值所以可以顺利调用handler合约的deposit函数。3.handler合约的deposit函数中会根据resourceID取出的所要充值的Token是否在白名单内进行检查,由于攻击者传入的resourceID对应ETH,因此映射中取出的所要充值的Token为0地址,即会被认为是充值ETH而通过了白名单检查。但deposit函数中却并没有对所要充值的Token地址再次进行检查,随后直接通过safeTransferFrom调用了所要充值的Token的transferFrom函数。4.由于所要充值的Token地址为0地址,而call调用无codesize的EOA地址时其执行结果都会为true且返回值为空,因此通过transferFrom的转账操作通过了safeTransferFrom的检查,最后触发了Deposit跨链充值事件。5.由于传入的resourceID为跨ETH所需要的值,因此触发的Deposit事件与真正充值ETH的事件相同,这让QBridge认为攻击者进行了ETH跨链,因此在BSC链上为攻击者铸造了大量的qXETHToken。攻击者利用此qXETH凭证耗尽了Qubit的借贷池。MistTrack分析
近24小时以太坊NFT市场买家地址数量为4,187个:金色财经报道,据NFTGo数据显示,近24小时以太坊NFT市场买家地址数量为4,187个,卖家地址数量为3,773个。近30天盈利地址数量为37,705个,亏损地址数量为456,023个。此外,当前以太坊NFT市场情绪指数为11,等级为“Cold”。注:NFT市场情绪指数是根据波动率、交易量、社交媒体和谷歌趋势计算得出。[2023/9/9 13:28:48]
慢雾AML旗下MistTrack反追踪系统分析发现,攻击者地址(0xd01...5c7)首先从Tornado.Cash提币获取初始资金,随后部署了合约,且该攻击者地址交互的地址是Qubit、PancakeSwap和Tornado.Cash合约地址。目前资金未发生进一步转移。慢雾AML将持续监控被盗资金的转移,拉黑攻击者控制的钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
2022年共有17个2010年的早期比特币区块奖励被花费:1月3日消息,据Bitcoin.com统计数据显示,2020年和2021年早期比特币区块奖励的支出创历史新高,但2022年活动放缓。其中2020年、2021年花费了20个2010年的早期区块奖励(1000枚比特币),
然而在2022年中,2010年的早期区块奖励只花掉了17个(850枚比特币),此外2022年3月10日一个实体移动了自2010年以来一直处于休眠状态的489.091枚比特币;2022年4月2009年的5个区块奖励也被花掉了,这也是自2020年以来首次有2009年的区块奖励被花掉。[2023/1/3 22:22:16]
加密社区向损失全部比特币的播客主持人捐赠0.7个BTC:6月15日消息,加密社区成员已向损失全部比特币储蓄的播客主持人Eric Savics捐赠了0.7个BTC。据此前报道,Eric Savics因从谷歌Chrome商店下载了恶意版本的KeepKey比特币钱包,而遭到网络钓鱼攻击,导致其损失12枚比特币。(Cointelegraph)[2020/6/15]
总结
本次攻击的主要原因在于在充值普通Token与nativeToken分开实现的情况下,在对白名单内的Token进行转账操作时未对其是否为0地址再次进行检查,导致本该通过native充值函数进行充值的操作却能顺利走通普通Token充值逻辑。慢雾安全团队建议在对充值Token进行白名单检查后仍需对充值的是否为nativeToken进行检查。参考交易:https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acfhttps://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02原地址
标签:KENTOKENTOKTOKEKodachi TokenEverton Fan TokenMatrix TokenAlttex Token
众筹竞拍美国宪法副本ConstitutionDAO出名后,该组织的治理通证PEOPLE因价格暴涨出圈,DAO这种去中心化组织形态的吸金能力被放大.
在2020年至2021年期间,加密钱包的数量以每年约2000万个的速度增长,现今的数量约为8000万个。这意味着仅仅两年时间,参与加密领域的人数就翻了一番。这个数据已经超过了整个地球人口的1%.
本文来自CinneamhainVentures合伙人AdamCochran推特,为其对2022年超收益主题板块的预测,内含对48种看好的加密货币的判断.
一、导读 在Web2世界里,我们习惯了以数十个用户名密码登录不同应用,习惯了自己的浏览历史、好友列表都被掌控在中心化的公司服务器手中.
2021年,随着加密市场的持续发展,越来越多资金流入加密行业,其中不乏数亿美元的融资事件。据链捕手统计,今年加密行业至少有20家以上公司/项目获得超过2亿美元的融资,其中FTX、NYDIG、DC.
当你工作时,如果有10个陌生人在你的虚拟办公室中游荡,有人说他们很了解你,并想与你一起工作;另一些人问你,他们是否可以四处看看.
区块见闻