2022年10月2日,据成都链安鹰眼-区块链安全态势感知平台舆情监测显示,Transit Swap 项目遭受攻击,被盗约2100万美元。关于本次事件,成都链安安全团队第一时间进行了分析。
首先在今早发现被盗后,Transit Swap 技术团队紧急暂停服务,无法进行任何操作,很多用户也在社交平台纷纷表示自己钱包的资产被盗。
据悉,本次事件的主角Transit Swap是某加密钱包下的闪兑交易平台。
Moonbeam与Equilibrium进行跨链互连合约集成:5月12日消息,Moonbeam宣布与Equilibrium进行跨链互连合约集成,通过Moonbeam将Multichain桥接的跨链资产引入Equilibrium。Moonbeam和Equilibrium之间由社区批准的双向HRMP通道使GLMR、EQ Token和EQD稳定币能够在链之间移动,并且已支持来自Polkadot生态系统外部的桥接流动性,这展示了Moonbeam互连合约策略的潜力。[2023/5/12 14:59:08]
首先我们需要知道什么是闪兑?
很多加密钱包出了闪兑功能,之所以叫这个名字主要就是因为不同数字货币之间的交易速度很快,因为闪兑不需要像交易所那样来撮合买方和卖方之间的订单,闪兑更像是柜台交易,就像去银行拿美元兑换人民币,在汇率已知的情况下,给多少美元,银行就会根据汇率兑换给你相应数量的人民币。
BTC现报价35091.6USDT BTC千倍合约开多人数占优:AOFEX交易大数据显示,截至今日14:00,BTC千倍合约交易量为5.77亿张,多空持仓人数比为1.20,市场做多人数暂时占优。BTC现报价35091.6USDT,24H涨幅12.75%;ETH现报价1113.85USDT,24H涨幅9.73%;LTC现报价161.81USDT,24H涨幅6.31%。
AOFEX数字货币金融衍生品交易所,旨在为用户提供优质服务和资产安全保障[2021/1/6 16:32:52]
闪兑除了兑换交易速度快之外,还有一些其他的功能,这也是很多用户使用它的原因。
BiKi合约行情播报:BTC多空持仓量占比为23%:77%:据BiKi合约官方数据,截至6月17日14:00(GMT+8),合约总持仓量多空持仓占比为41%:59%。BTC多空持仓占比为23%:77%;ETH为52%:48%;BCH为47%:53%;EOS为26%:74%;XRP为46%:54%;BSV为45%:55%;LTC为46%:54%。
BiKi现已支持全仓、逐仓模式,1-150倍杠杆。BiKi永续合约目前已上线止盈止损、闪电平仓、模拟合约等3大功能。[2020/6/17]
下面,我们回到本次事件技术层面来分析。
BSC链上的攻击交易:
现场 | 孙志勇:智能合约价值在于提供效率 证据保全 自动执行:金色财经现场报道,在”共识2018区块链大会·北京”上,中国政法大学教授孙志勇在谈到区块链与智能合约时表示,智能合约的价值在于提供效率、证据保全和自动执行。而智能合约对现有法律的挑战表现为,跨境执行与法律监管的冲突、税收冲突、智能合约的自身争议处理以及智能合约与传统法律的衔接。[2018/7/27]
https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189
以太坊上的攻击交易:
https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7
用户进行swap兑换时,正常流程是先通过Transit Cross Router v3合约选择路由合约,随后通过Transit Swap&Cross Approve Proxy合约进行权限验证后,调用claimTokens函数将用户兑换的token转入路由合约中。而Transit Swap 合约实现时,上述三个合约均未对用户输入数据进行正确的验证,导致攻击者可以构造出任意指定的兑换数据calldata,其中可以将授权过的用户的代币转入攻击者指定的任意地址之中。
这个合约未对下面的calldata进行验证,解析后为下图的input,里面指定了收款人为攻击者地址。
攻击者就通过这种方式,共获利约2100万美元。随后将资金归集到获利地址0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46,
但是项目方依然没有放弃,随后Transit Swap 官方发布公告称,目前已确定黑客 IP、电子邮件地址,以及相关的链上地址。Transit Swap 团队表示将尽力追踪黑客,并尝试与黑客沟通,帮助用户挽回损失。
随着事件的影响力扩大,攻击者似乎也知道真实身份难保。也可能是被项目方“感化”,这位攻击者决定退回盗取的资产。
截止发稿前,目前攻击者已将BNB链上的37,000 BNB 和1500 ETH,以太坊上的3,180 ETH归还给项目方。2500 BNB被转移到Tornado.Cash,剩余的12,612 BNB仍在攻击者地址上,价值约356万美元。成都链安链必追-虚拟货币案件智能研判平台正在对被盗资金进行实时追踪。
从本次事件,我们可以看到,合约授权依然潜藏着诸多风险。
来源:成都链安
财经法学
金色早8点
链捕手
PANews
Bress
Odaily星球日报
区块律动BlockBeats
来源:老雅痞 区块链技术怎样与实体经济更好的结合一直是我们研究的一个方向,目前看来,餐厅这条路是很多人首选的尝试。具体怎么玩,让我们看看最近刚拿到融资的Blackbird是怎么做的.
加密市场虽然处于熊市,但 Web3 增长工具市场正在不断升温,这里有一份 Web3 增长工具清单请查收.
金色财经 区块链10月2日讯 “Fintech”这个融合词在近年来被提及的频率颇高,其顾名思义就是通过科技手段向消费者提供金融产品和服务.
失去互联网之后,这个第三大经济体决定在Web3奋起直追。 9月22日,Astar 创始人渡边宗太在自己的博客宣布,Astar 的原生代币通过了金融厅和 JVCEA(日本加密资产交易协会)的严格审.
山东法院民法典适用典型案例27投资或交易虚拟货币的行为不受法律保护——马某某诉刘某某、常某、李某某合同纠纷案 裁判要旨 网络虚拟货币不是货币发行机关发行,不具有法偿性和强制性等货币属性.
EIP-1559虽意图有利于以太坊社区,但实际却不稳定。自以太坊因其Gas费高昂而渐渐被其他公链觊觎其市场份额后,EIP-1559的上线就备受大众关注,被寄予厚望.