ECC:跨链交易协议THORChain被攻击事件分析_Sanshu Inu

北京时间7月23日，去中心化跨链交易协议?THORChain(RUNE)再次遭遇攻击，包括XRUNE在内的多种ERC20代币受到影响，涉及损失约800万美元。THORChain已是一个月内第三次受到攻击，此前在7月16日遭受攻击，损失约4000ETH；在6月29日遭受恶意攻击，损失14万美元。

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

ClassZZ Swap跨链交易保险功能上线5小时，质押CZZ总价值达292536.74美金:据CZZ技术社区消息，ClassZZ Swap跨链交易保险功能上线5小时，用户单币质押2056773枚ECZZ，1311955枚BCZZ 、2322648枚HCZZ，总价值达292536.74美金。保险合约为CZZ持币用户提供单币挖矿机会，并收取跨链交易用户0.1%的手续费，平分给在保险合约中进行单币质押挖矿的用户。[2021/7/2 0:23:53]

一、事件分析

攻击交易：https://etherscan.io/tx/0xce958939ba23771d0a0b80532c463b4cbbb175f4d14c08d9d27dd251f68a5da1

动态 | 研究：ShapeShift和类似的跨链交易服务并非匿名:据MIT Technology Review的一份报告，ShapeShift和类似的跨链服务并非匿名，其允许用户将一种加密币直接转化成另外一种货币。犯罪分子依赖于调查人员离开原始链后无法再跟踪交易。研究人员通过使用ShapeShift的应用程序编程接口（API），收集了在2017年末至2018年末期间有关其用户的详细信息，涵盖了八个不同的区块链，并将这些信息与与之前的技术相结合来识别更多的跨链交易。之后，研究人员进一步对与特定地址相关的寻求匿名行为的不同模式进行了编目。结果发现，ShapeShift并不匿名。不过，值得注意的是，无论ShapeShift的用户是谁，现在显然比2018年10月之前少了很多。据悉，2018年10月份，ShapeShift团队为遵守反法规，停止对不进行身份信息识别的用户提供交易服务。[2019/8/30]

Kyber Network：2018将上线金融衍生品服务并在年中的时候实现跨链交易:日前Kyber Network创始人TN Lee接受采访时表示，Kyber Network将在2019年初上线金融衍生品服务并在年中的时候实现跨链交易。[2018/2/3]

图1攻击者攻击THORChainRouter获取XRUNE代币

攻击者调用THORChainRouter合约的transferOut函数向攻击者转了一笔数量为amount的代币，代币的类型由asset的类型来确定，转账的sender为THORChainRouter的合约地址。

图2?THORChainRouter合约的TransferOut函数

图3?通过TransferOut函数牟利Sushi币

攻击者之所以可以实现这样的攻击，是因为THORChainRouter合约的TransferOut函数漏洞导致--使用asset.call(abi.encodeWithSignature("transfer(address,uint256)",to,amount))语句进行转账;

图4?YFI.sol中的transfer

图5?FiatToken.sol中的transfer

图6?XRUNE.sol中的transfer?

在使用call函数时，msg.sender的值为THORChainRouter地址，执行环境为被调用者的运行环境，因此会调用asset代币合约中的transfer函数，向接收者转出代币。而此次攻击者攻击THORChainRouter合约牟利的六种代币合约中，实现转账的函数均为"transfer(address,uint256)"这种形式，这也使得攻击者有可乘之机。

标签：ECCANSCASHCASBECC币Sanshu InuATM Cash GoldLilith Cash

莱特币最新价格热门资讯