北京时间10月2日凌晨02:33:47开始,数百个与TransitSwap互动的钱包先后被盗,随后资产被转移到一个攻击者的外部拥有账户。目前资产损失已超过2000万美元。
此次攻击,主要是针对那些已经批准TransitSwap&CrossApproveProxy合约的地址。
数据:2022年前11个月黑客窃取加密货币价值已达43亿美元,较去年同期增长37%:金色财经报道,根据网络安全公司Privacy Affairs最新发布数据显示,从2022年1月到2022年11月,黑客窃取的加密货币价值高达43亿美元,比2021年同期增长37%,其中规模最大的黑客攻击包括:AxieInfinity(6.25亿美元)、Wormhole(3.2亿美元)、Nomad Bridge(1.9亿美元)Beanstalk(1.82亿美元)和Wintermute(1.6亿美元)。(blockworks)[2022/12/27 22:09:47]
TransitSwap被称为“跨链DEX聚合器”。开发者在注意到漏洞后暂停了合约,不过还是有49,815枚BNB和5,182枚ETH在合约暂停前就被从用户的钱包中转移了出来。
以太坊天价手续费转账或是黑客发起的GasPrice勒索攻击:对于“以太坊天价手续费转账”一事,PeckShield 分析认为,这可能是黑客向交易所发起的 GasPrice 勒索攻击,具体原因如下:1)某主体为交易所的地址被黑客以钓鱼等方式实施了攻击,其部分权限被黑客捕获,比如:服务器管理权限等;2)由于该交易所私钥存在多签验证等可能性,因此黑客尽管掌握了服务器账户权限,却无法完全控制私钥将巨额资产转给自己。3)但黑客却发现其已有权限可以向该地址授权的白名单转账,于是黑客才有可能在权限不齐的情况下,实现两次转账;4)不仅如此,黑客还发现其可以控制 GasPrice 权限,所以其拿不走这笔资产却可以想办法将其挥霍完;5)于是黑客发出两次异常转账,向该交易所发起了勒索。潜台词是如若交易所不通过其他方式给予黑客一定的赎金,黑客将会进一步把钱挥霍完(目前该地址还剩 2.1 万个 ETH);6)由于该交易所的服务器权限被控制,使得其无法正常使用私钥权限,故而眼睁睁看着账户钱被动了,却没办法将剩余的钱转出及时止损。[2020/6/12]
事件经过
金色财经现场报道 全球区块链黑客马拉松北京站今晚开幕:金色财经现场报道,由NodeCapital、创业沙拉、金色财经、数矩科技联合主办的区块链黑客马拉松今晚在北京三里屯科技寺开幕,来自全国各地上百人参与其中。今晚将从25个创意中投票产生8个种子创意,并进行现场组队,通过52小时封闭式互动开发,做出属于自己区块链Demo。目前展示的创意覆盖信息安全、加密货币交易、区块链游戏、教育、医疗等各个方面。金色财经记者将对赛况全程报道。[2018/5/18]
首先,攻击者的EOA与大量的个人钱包进行了互动,说明攻击者很可能滥用了TransitSwap&CrossApproveProxy合约中的一些漏洞,单独消耗了数百个地址。
随后,根据CertiKSkytrace的地址标签,我们可以看到攻击者已经开始将被盗资金转移到BNB链上的TornadoCash。
攻击者使用Multichain的跨链路由器将2000个被盗ETH从以太坊桥接到BNB链,而BNB链钱包目前有1,499枚ETH和49,612枚BNB。
TransitSwap在他们的推特页面上发布了以下公告:
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。