新的一周,新的攻擊——去中心化金融生態系統一直是計算機攻擊的目標。因此,黑客每週都會檢測漏洞,從而從用戶那裡竊取數百萬美元。無論是在以太坊還是其他與EVM 兼容的鏈上,都沒有任何區塊鏈可以倖免。
Transit Swap 被盜2100 萬美元
Transit Swap 是一個跨鏈去中心化交易所聚合器。因此,該協議跨多個區塊鏈集成了最流行的DEX。在實踐中,這使得在最有利潤的平台和渠道上執行掉期成為可能。
不幸的是,在10 月1 日星期六,PeckShield 團隊警告社區已檢測到攻擊。在公告發佈時,被盜金額估計為1500 萬美元。然後將向上重新評估該金額,總損失為2100 萬美元。
“似乎在TransitFinance 的掉期合約中檢測到了可組合性或錯位的信任問題。 這導致損失超過1500 萬美元。 »
PeckShield 發布的警報消息– 來源:Twitter。
在PeckShield 宣布兩個小時後,Transit Swap 團隊暫停了合約以保護剩餘資金並進行調查。
很快就發現攻擊是由於代碼中的錯誤而成為可能的。因此,正如我們來自Rekt 的同事報告的那樣,攻擊者能夠竊取批准Transit Swap 掉期合約的用戶的錢包。
“雖然漏洞存在於項目代碼中,但這次攻擊通過使用transferFrom() 函數的漏洞直接針對用戶。 在Transit Swap 上批准的所有代幣都可以直接從用戶的錢包轉移到黑客的地址。 »
在實踐中,攻擊者對以太坊和BNB 鏈進行了攻擊。如果你使用Transit Swap 協議,則必須通過Revoke.cash 工具撤銷批准。
70% 的資金返還
隨後,Transit Swap 團隊在SlowMist、Bitrace、PeckShield 和代幣Pocket 的支持下展開調查,尋找攻擊者的踪跡。
很快,可以識別出許多信息,例如IP、電子郵件和錢包地址。同時,Transit Swap 通過鏈上交易發起與黑客的通信。不出所料,後者要求黑客返還資金以換取獎勵。
“作為項目的一部分,我們願意提供額外的漏洞發現賞金,並希望與你進行更友好和具體的溝通。 »
黑客回复的消息,表明他願意談判。
“本著提高web3.0世界代碼安全性的原則,我花了很多時間和精力對項目的代碼進行審計,並成功利用了這個漏洞。 以後會根據bug賞金的原則,提前進行友好溝通。 謝謝»
隨後,黑客在BNB 鍊和以太坊上進行了多次交易,返回:
BNB鏈上1,499 WETH和37,000 BNB; 以太坊上的3,180 ETH。
攻擊者總共歸還了1660 萬美元的加密貨幣,約佔他盜竊的70%。
Transit Swap 宣布已返還70% 的資金——來源:Twitter。
還款計劃
從現在開始,Transit Finance 團隊將不得不將被盜資金返還給受攻擊傷害的用戶。
“關於用戶損失的返還:
1、項目組正在爭先恐後地收集具體的被盜用戶數據,並製定歸還方案。
2. 團隊將繼續追回被黑客竊取的剩餘資產,並歸還給丟失的用戶。 »
不幸的是,並非所有黑客故事都以這種方式結束。事實上,在平台無法與黑客達成協議的情況下,Wintermute 被盜了1.6 億美元。
當GAFAM 研究加密貨幣時,他們不會忘記分一杯羹想要多汁的產量嗎?來吧,在AscendEX 平台上註冊並參與Earn 計劃(商業鏈接)。
文章被黑DeFi:對Transit Swap 的恐懼多於傷害首先出現在Journal du Coin 上。
資訊來源:由0x資訊編譯自JOURNALDUCOIN。版權歸作者Renaud H.所有,未經許可,不得轉載