BTC/HKD+0.16%
ETH/HKD+0.45%
LTC/HKD-0.19%
DOT/HKD-0.27%
ADA/HKD+0.57%
SOL/HKD-0.45%
XRP/HKD-0.17%
DOGE/US+0.26%據慢霧區情報,2022年01月28日,Qubit項目的QBridge遭受攻擊,損失約8000萬美金。慢霧安全團隊進行分析后以簡析的形式分享給大家。
簡要分析
1.攻擊者通過ETH上的QBridge合約進行存款操作,存款時傳入所要跨的目標鏈destinationDomainID、所要跨鏈的資產resourceID以及跨鏈資金數量與接收地址等參數構成的data。2.攻擊者指定傳入的resourceID為跨ETHToken所需要的值,但其調用的是QBridge的deposit函數而非depositETH函數,因此首先繞過了跨鏈資金數量與msg.value的檢查。deposit函數會根據resourceID從映射中取出handler地址進行充值,由于攻擊者傳入的是真實的跨ETHToken所需要的值所以可以順利調用handler合約的deposit函數。3.handler合約的deposit函數中會根據resourceID取出的所要充值的Token是否在白名單內進行檢查,由于攻擊者傳入的resourceID對應ETH,因此映射中取出的所要充值的Token為0地址,即會被認為是充值ETH而通過了白名單檢查。但deposit函數中卻并沒有對所要充值的Token地址再次進行檢查,隨后直接通過safeTransferFrom調用了所要充值的Token的transferFrom函數。4.由于所要充值的Token地址為0地址,而call調用無codesize的EOA地址時其執行結果都會為true且返回值為空,因此通過transferFrom的轉賬操作通過了safeTransferFrom的檢查,最后觸發了Deposit跨鏈充值事件。5.由于傳入的resourceID為跨ETH所需要的值,因此觸發的Deposit事件與真正充值ETH的事件相同,這讓QBridge認為攻擊者進行了ETH跨鏈,因此在BSC鏈上為攻擊者鑄造了大量的qXETHToken。攻擊者利用此qXETH憑證耗盡了Qubit的借貸池。MistTrack分析
Twitter更改為X或將導致數十億美元的品牌價值縮水:7月25日消息,馬斯克下令將Twitter的產品名稱更改為“X”,并取消藍鳥標志和所有相關詞語,包括“tweet”。據分析師和品牌機構稱,馬斯克的舉動使公司價值損失了40億至200億美元。
Siegel&Gale品牌傳播總監Steve Susi表示,我們花了15年多的時間才在全球范圍內贏得了如此多的追捧,因此失去Twitter這一品牌名稱將帶來重大的財務打擊。分析師和品牌機構稱該產品的重命名是一個錯誤。品牌機構Fazer創始人Todd Irwin表示,Twitter是最知名的社交媒體品牌之一。鳥類貼花與Instagram和Facebook徽標一起裝飾著世界各地的小型企業和網站。Insider Intelligence分析師Jasmine Enberg表示,Twitter的企業品牌已經與馬斯克的個人品牌緊密相連,無論有沒有X這個名字,Twitter的大部分既定品牌資產已經在用戶和廣告商中流失。[2023/7/25 15:56:50]
慢霧AML旗下MistTrack反洗錢追蹤系統分析發現,攻擊者地址(0xd01...5c7)首先從Tornado.Cash提幣獲取初始資金,隨后部署了合約,且該攻擊者地址交互的地址是Qubit、PancakeSwap和Tornado.Cash合約地址。目前資金未發生進一步轉移。慢霧AML將持續監控被盜資金的轉移,拉黑攻擊者控制的錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。
代幣化投資組合協議PieDAO收購加密指數項目BasketDAO:金色財經消息,代幣化投資組合協議PieDAO宣布收購加密指數項目BasketDAO。Basket DAO Index(BDI)持有者可以選擇在6月29日至7月21日期間換取PieDAO的DeFi代幣。BasketDAO在去年下半年遭到黑客攻擊,之后BasketDAO團隊決定退出該項目。[2022/7/1 1:43:06]
ETHGlobal公布HackMoney 2022中10家決賽入圍項目:ETHGlobal公布HackMoney 2022中的10家決賽入圍項目,包括帶有DAO策略回測的金庫風險分析儀表板Whip、跨鏈和跨協議存取款和流動性遷移項目Wido Router、反向競標拍賣生成OK Vault、ETH波動率期貨和永續合約協議EVIX、復雜指數項目Yield Index、DeFi產品發現游戲Hash Space、使用NFT作為抵押品的借貸協議Polypus、NFT鏈上期權交易平臺Jpex、允許通過平均美元成本購買加密貨幣的BTFDCA以及抗MEV(最大可提取價值)的去中心化交易協議TEX。[2022/5/26 3:43:45]
總結
本次攻擊的主要原因在于在充值普通Token與nativeToken分開實現的情況下,在對白名單內的Token進行轉賬操作時未對其是否為0地址再次進行檢查,導致本該通過native充值函數進行充值的操作卻能順利走通普通Token充值邏輯。慢霧安全團隊建議在對充值Token進行白名單檢查后仍需對充值的是否為nativeToken進行檢查。參考交易:https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acfhttps://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02原地址
Tags:ETHTOKKENTOKEEthereum ApexDipperex TokenHelmet.insure Governance Tokenimtoken被盜60000多U
頭條 數字資產銀行Sygnum以8億美元估值完成9000萬美元融資,新鴻基領投星球日報訊1月6日,數字資產銀行Sygnum宣布以8億美元估值完成9000萬美元融資.
1900/1/1 0:00:00區塊鏈發展其實和城市規劃設計一樣,雖然你可以建造越來越高的摩天大樓來不斷擴大城市規模,但最終,土地會被用盡,就像區塊鏈中的區塊大小會被用盡一樣.
1900/1/1 0:00:00知名風投機構Benchmark以早期對eBay和Uber等初創公司的投資而聞名。近幾年,Benchmark也開始轉向加密市場,投資了Chainalysis、Sorare等加密項目.
1900/1/1 0:00:00本文來自Cryptobriefing,原文作者:MikeDaltonOdaily星球日報譯者|余順遂 摘要: Robinhood準備從2022年1月份開始向部分用戶提供其加密貨幣錢包.
1900/1/1 0:00:00Terra市場分析 通常年底是休息和為假期做準備的時候,但2021年最后幾周,加密市場沒有顯示出“休息”的跡象.
1900/1/1 0:00:002021年NFT市場概況到目前為止,Ethereum上NFT銷售額在2021年已超過90億美元,比2020年的總銷售額增長了2500%.
1900/1/1 0:00:00
比特幣行情
