北京时间7月23日,去中心化跨链交易协议?THORChain(RUNE)再次遭遇攻击,包括XRUNE在内的多种ERC20代币受到影响,涉及损失约800万美元。THORChain已是一个月内第三次受到攻击,此前在7月16日遭受攻击,损失约4000ETH;在6月29日遭受恶意攻击,损失14万美元。
去中心化多链跨链交易平台Chainge Finance推出ARB看跌期权:3月21日消息,去中心化多链跨链交易平台Chainge Finance推出了ARB看跌期权,让用户能够提前锁定卖出价格,购买行权价为2美元的ARB看跌期权。除此之外,用户还可以用TF-USDT发行看跌期权来达到卖出ARB-PO锁定买入价格的效果,例如ARB开盘后价格并没有达到2美元,用户发行的ARB看跌期权被行权后将自动获得成本价2美元的ARB现货,然后ARB的市场价格若上涨至6美元,用户在DEX中卖出后即可获得近3倍的收益。另外,Chainge为用户提供了高达235%年化收益的ARB-PO/USDT的流动性池。简而言之,用户可以在空投之前利用Chainge的ARB看跌期权来提前获得套利收益。
作为一个去中心化多链跨链交易平台,Chainge提供了自托管跨链钱包、去中心化托管交易、去中心化期货交易以及第一个去中心化期权交易等一系列加密交易工具。这些工具能够帮助用户提高加密货币的安全性,并且方便进行加密资产的管理和交易。[2023/3/21 13:17:05]
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
安全团队:BSC Token Hub跨链交易验证方式存在漏洞:10月7日消息,据Beosin EagleEye平台监测显示,BSC Token Hub10月7日遭遇黑客攻击,Beosin安全团队现将手法解析如下:币安跨链桥BSC Token Hub在进行跨链交易验证时,使用了一个特殊的预编译合约用于验证IAVL树。而该实现方式存在漏洞,该漏洞可能允许攻击者伪造任意消息。
1)攻击者先选取一个提交成功的区块的哈希值(指定块:110217401)
2)然后构造一个攻击载荷,作为验证IAVL树上的叶子节点
3)在IAVL树上添加一个任意的新叶子节点
4)同时,添加一个空白内部节点以满足实现证明
5)调整第3步中添加的叶子节点,使得计算的根哈希等于第1步中选取的提交成功的正确根哈希
6)最终构造出该特定区块(110217401)的提款证明
Beosin Trace正在对被盗资金进行实时追踪。[2022/10/7 18:41:51]
一、事件分析
互操作性协议Connext宣布已在主网上线其通用的跨链交易协议NXTP:官方消息,以太坊Layer2互操作性协议Connext宣布,已在主网上线其通用的跨链交易协议NXTP,并支持Arbitrum、Polygon、xDai、Fantom、Binance Smart Chain。
据悉, Nxtp是用于在以太坊域(链 + L2s)之间传输资产和调用合约的基础协议。[2021/9/28 17:13:11]
攻击交易:https://etherscan.io/tx/0xce958939ba23771d0a0b80532c463b4cbbb175f4d14c08d9d27dd251f68a5da1
去中心化跨链交易协议 THORChain 遭攻击:7月23日,PeckShield派盾预警显示,去中心化跨链交易协议THORChain遭攻击,请用户注意风控。[2021/7/23 1:10:36]
图1攻击者攻击THORChainRouter获取XRUNE代币
攻击者调用THORChainRouter合约的transferOut函数向攻击者转了一笔数量为amount的代币,代币的类型由asset的类型来确定,转账的sender为THORChainRouter的合约地址。
图2?THORChainRouter合约的TransferOut函数
图3?通过TransferOut函数牟利Sushi币
攻击者之所以可以实现这样的攻击,是因为THORChainRouter合约的TransferOut函数漏洞导致--使用asset.call(abi.encodeWithSignature("transfer(address,uint256)",to,amount))语句进行转账;
图4?YFI.sol中的transfer
图5?FiatToken.sol中的transfer
图6?XRUNE.sol中的transfer?
在使用call函数时,msg.sender的值为THORChainRouter地址,执行环境为被调用者的运行环境,因此会调用asset代币合约中的transfer函数,向接收者转出代币。而此次攻击者攻击THORChainRouter合约牟利的六种代币合约中,实现转账的函数均为"transfer(address,uint256)"这种形式,这也使得攻击者有可乘之机。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。