据慢雾区情报,2022 年 01 月 28 日,Qubit 项目的 QBridge 遭受攻击,损失约 8000 万美金。慢雾安全团队进行分析后以简析的形式分享给大家。
简要分析
1. 攻击者通过 ETH 上的 QBridge 合约进行存款操作,存款时传入所要跨的目标链 destinationDomainID、所要跨链的资产 resourceID 以及跨链资金数量与接收地址等参数构成的 data。
2. 攻击者指定传入的 resourceID 为跨 ETH 代币所需要的值,但其调用的是 QBridge 的 deposit 函数而非 depositETH 函数,因此首先绕过了跨链资金数量与 msg.value 的检查。deposit 函数会根据 resourceID 从映射中取出 handler 地址进行充值,由于攻击者传入的是真实的跨 ETH 代币所需要的值所以可以顺利调用 handler 合约的 deposit 函数。
BiKi平台存储板块项目LAMB领涨,连续3天涨幅达102%:据BiKi行情数据显示,截止今日11:00( GMT+8),平台存储板块项目LAMB领涨,3天涨幅累计达102%。行情波动较大,请注意风险控制。[2021/4/2 19:39:43]
3. handler 合约的 deposit 函数中会根据 resourceID 取出的所要充值的代币是否在白名单内进行检查,由于攻击者传入的 resourceID 对应 ETH,因此映射中取出的所要充值的代币为 0 地址,即会被认为是充值 ETH 而通过了白名单检查。但 deposit 函数中却并没有对所要充值的代币地址再次进行检查(充值 ETH 应该是要通过 depositETH 函数进行跨链),随后直接通过 safeTransferFrom 调用了所要充值的代币的 transferFrom 函数。
Galaxy Digital创始人:美国SEC应重新审查并批准比特币ETF:金色财经报道,Galaxy Digital创始人Mike Novogratz认为,美国证券交易委员会(SEC)应该重新审查其优先事项,并批准比特币交易所交易基金(ETF)。Novogratz表示,虽然SEC的工作是保护投资者,但延迟允许比特币ETF导致投资者支付高额溢价,只能通过公开交易的法定信托来投资比特币。此外,Novogratz表示,拜登总统提名的SEC负责人Gary Gensler将比其前任更好地为加密行业服务。他预计,比特币ETF将在12个月内获得批准,这将导致灰度信托溢价暴跌。[2021/1/28 14:10:53]
4. 由于所要充值的代币地址为 0 地址,而 call 调用无 code size 的 EOA 地址时其执行结果都会为 true 且返回值为空,因此通过 transferFrom 的转账操作通过了 safeTransferFrom 的检查,最后触发了 Deposit 跨链充值事件。
5. 由于传入的 resourceID 为跨 ETH 所需要的值,因此触发的 Deposit 事件与真正充值 ETH 的事件相同,这让 QBridge 认为攻击者进行了 ETH 跨链,因此在 BSC 链上为攻击者铸造了大量的 qXETH 代币。攻击者利用此 qXETH 凭证耗尽了 Qubit 的借贷池。
MistTrack 分析
慢雾 AML 旗下 MistTrack 反追踪系统分析发现,攻击者地址(0xd01...5c7)首先从 Tornado.Cash 提币获取初始资金,随后部署了合约,且该攻击者地址交互的地址是 Qubit、PancakeSwap 和 Tornado.Cash 合约地址。目前资金未发生进一步转移。慢雾 AML 将持续监控被盗资金的转移,拉黑攻击者控制的钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
总结
本次攻击的主要原因在于在充值普通代币与 native 代币分开实现的情况下,在对白名单内的代币进行转账操作时未对其是否为 0 地址再次进行检查,导致本该通过 native 充值函数进行充值的操作却能顺利走通普通代币充值逻辑。慢雾安全团队建议在对充值代币进行白名单检查后仍需对充值的是否为 native 代币进行检查。
参考交易:
https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acf
https://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02
行业趋势 蓬勃发展的区块链行业总是不断地推陈出新。2020年DeFi Boom横空出世,一时间去中心化金融的概念深入人心,不断攀升的TVL(Total Value Locked 总锁仓量)和远高于传统金融行业的APR (Annual Percentage Rate 年化收益率)让人们趋之若鹜,也随之开启了新一轮波澜壮阔的牛市行情。
在 Seed Club 第 2 季的列表中,有一系列探索社交代币应用的前沿项目,十分引人注目。比如 Jump(一个由 b2b 广告代理领导者组成的社区)、Global Coin Research(一个代币化媒体组织)等等。 我作为 Ampled 团队的一员参加了 Seed Club。我们是一个直接支持音乐家的网络平台,由艺术家和工作者拥有的合作组织。
Web3时代下,投资模式正朝着一个从未探索的方向发展演化,诞生了新型的投资组织 --- 投资型DAO。DAO是一个去中心化的自治组织,所以投资型DAO底层的设计必然是公平的、透明的。 公平:投资的决策者从单一的领导者转变为依赖于社区投票和共识。 透明:所持有资产存放在一个多签名的去中心化资产管理。
FTX .US 董事长 Brett Harrison 昨日发文表示在 Gather 建设了一个线上办公室,方便进行工作沟通。还有许多其他的 Web 3 从业者也开始探索使用 Gather 开会,使会议变得更加有趣。
Dracoo Master 是第一款真正由社区拥有和管理的纸牌游戏。玩家可以组建Dracoo团队与他人竞争,并通过战斗获得奖励。游戏玩法结合了团队合作和个人技能,还提供PVE和PVP游戏模式,让玩家挑战自我,还有每月更新,丰厚奖励等你发现。 宠物 Dracoo Dracoo由六部分组成:角、脸、身体、尾巴、翅膀和背部。
近日,随着周杰伦等世界级巨星入场 NFT,NFT 市场也在 1 月迅速升温,据 Dune Analytics 数据显示,在一月仅仅过了一半时间的情况下,OpenSea 月度交易额便已达到历史新高,截止发稿时,OpenSea 1 月交易额也已突破 40 亿美元。
链资讯