Qubit Finance wurde gehackt und 80 Millionen Dollar gestohlen
Am 28. Januar stahlen Angreifer mehr als 80 Millionen US-Dollar von Qubit Finance, einem auf Binance Smart Chain basierenden Unternehmen.
Qubit Finance kündigte diesen Angriff auf seinem offiziellen Twitter an.
Darauf deuten Adressen hin, die mit dem Angriff in Zusammenhang stehen 206,809 BNB wurden aus dem QBridge-Protokoll von Qubit gestohlen. Nach Angaben des Sicherheitsunternehmens PeckShield sind die gestohlenen Vermögenswerte mehr als wert 80 Mio. US$.
Zeitleiste des Vorfalls
- 27 2022:09:18 Uhr +UTC: 0.8887725 ETH vom Tornado an das Konto des Angreifers gesendet
- 27 2022:09:34 Uhr +UTC~01 27:2022:09 Uhr +UTC: 16 Einzahlungssendungen an QBridge von Ethereum gesendet
- 27 2022:09:36 Uhr +UTC~32 27:2022:09 Uhr +UTC: 16 voteProposal tx an den QBridge-Vertrag von BSC durch Qubit Relayer gesendet
- Eine Reihe von xETH-Tokens wurden von 16 voteProposal tx geprägt und die Liquidität in Qubit wurde unter Verwendung dieser als Sicherheit abgezogen
Exploit-Methode
Der Angreifer rief die Einzahlungsfunktion QBridge im Ethereum-Netzwerk auf, die die Einzahlungsfunktion QBridgeHandler aufruft.
QBridgeHandler sollte das WETH-Token erhalten, bei dem es sich um die ursprüngliche Token-Adresse handelt. Wenn die Person, die die Übertragung durchgeführt hat, kein WETH-Token hat, sollte die Übertragung nicht erfolgen.
tokenAddress.safeTransferFrom(depositer, address(this), amount);
Im obigen Code ist tokenAddress 0, sodass „safeTransferFrom“ nicht fehlgeschlagen ist und die Einzahlungsfunktion unabhängig vom Betragswert normal beendet wurde.
Darüber hinaus war tokenAddress die WETH-Adresse, bevor DepositETH hinzugefügt wurde, aber wenn DepositETH hinzugefügt wird, wird sie durch die Nulladresse ersetzt, die die TokenAddress von ETH ist.
Zusammenfassend lässt sich sagen, dass es sich bei der Einzahlungsfunktion um eine Funktion handelte, die nach der Neuentwicklung von DepositETH nicht mehr genutzt werden sollte, aber im Vertrag verblieb.
Ergriffene Maßnahmen
- Das Team verfolgt weiterhin den Exploiter und überwacht die betroffenen Vermögenswerte.
- Das Team hat den Ausbeuter kontaktiert, um das maximale Kopfgeld anzubieten, das in unserem Programm festgelegt ist.
- Das Team arbeitet mit Sicherheits- und Netzwerkpartnern zusammen, darunter Binance.
- Die Funktionen „Liefern“, „Einlösen“, „Ausleihen“, „Rückzahlung“, „Überbrückung“ und „Überbrückung“ sind bis auf Weiteres deaktiviert. Die Reklamation ist möglich.
HAFTUNGSAUSSCHLUSS: Die Informationen auf dieser Website dienen als allgemeine Marktkommentare und stellen keine Anlageberatung dar. Wir empfehlen Ihnen, vor einer Investition eigene Recherchen durchzuführen.
Melden Sie sich bei CoinCu Telegram an, um Neuigkeiten zu verfolgen: https://t.me/coincunews
Folgen Sie dem Youtube-Kanal von CoinCu | Folgen Sie der Facebook-Seite von CoinCu
Hasel
CoinCu-Neuigkeiten
Qubit-Finanzierung Qubit-Finanzierung Qubit-Finanzierung
Autor
News
Qubit Finance wurde gehackt und 80 Millionen Dollar gestohlen
Am 28. Januar stahlen Angreifer mehr als 80 Millionen US-Dollar von Qubit Finance, einem auf Binance Smart Chain basierenden Unternehmen.
Qubit Finance kündigte diesen Angriff auf seinem offiziellen Twitter an.
Darauf deuten Adressen hin, die mit dem Angriff in Zusammenhang stehen 206,809 BNB wurden aus dem QBridge-Protokoll von Qubit gestohlen. Nach Angaben des Sicherheitsunternehmens PeckShield sind die gestohlenen Vermögenswerte mehr als wert 80 Mio. US$.
Zeitleiste des Vorfalls
- 27 2022:09:18 Uhr +UTC: 0.8887725 ETH vom Tornado an das Konto des Angreifers gesendet
- 27 2022:09:34 Uhr +UTC~01 27:2022:09 Uhr +UTC: 16 Einzahlungssendungen an QBridge von Ethereum gesendet
- 27 2022:09:36 Uhr +UTC~32 27:2022:09 Uhr +UTC: 16 voteProposal tx an den QBridge-Vertrag von BSC durch Qubit Relayer gesendet
- Eine Reihe von xETH-Tokens wurden von 16 voteProposal tx geprägt und die Liquidität in Qubit wurde unter Verwendung dieser als Sicherheit abgezogen
Exploit-Methode
Der Angreifer rief die Einzahlungsfunktion QBridge im Ethereum-Netzwerk auf, die die Einzahlungsfunktion QBridgeHandler aufruft.
QBridgeHandler sollte das WETH-Token erhalten, bei dem es sich um die ursprüngliche Token-Adresse handelt. Wenn die Person, die die Übertragung durchgeführt hat, kein WETH-Token hat, sollte die Übertragung nicht erfolgen.
tokenAddress.safeTransferFrom(depositer, address(this), amount);
Im obigen Code ist tokenAddress 0, sodass „safeTransferFrom“ nicht fehlgeschlagen ist und die Einzahlungsfunktion unabhängig vom Betragswert normal beendet wurde.
Darüber hinaus war tokenAddress die WETH-Adresse, bevor DepositETH hinzugefügt wurde, aber wenn DepositETH hinzugefügt wird, wird sie durch die Nulladresse ersetzt, die die TokenAddress von ETH ist.
Zusammenfassend lässt sich sagen, dass es sich bei der Einzahlungsfunktion um eine Funktion handelte, die nach der Neuentwicklung von DepositETH nicht mehr genutzt werden sollte, aber im Vertrag verblieb.
Ergriffene Maßnahmen
- Das Team verfolgt weiterhin den Exploiter und überwacht die betroffenen Vermögenswerte.
- Das Team hat den Ausbeuter kontaktiert, um das maximale Kopfgeld anzubieten, das in unserem Programm festgelegt ist.
- Das Team arbeitet mit Sicherheits- und Netzwerkpartnern zusammen, darunter Binance.
- Die Funktionen „Liefern“, „Einlösen“, „Ausleihen“, „Rückzahlung“, „Überbrückung“ und „Überbrückung“ sind bis auf Weiteres deaktiviert. Die Reklamation ist möglich.
HAFTUNGSAUSSCHLUSS: Die Informationen auf dieser Website dienen als allgemeine Marktkommentare und stellen keine Anlageberatung dar. Wir empfehlen Ihnen, vor einer Investition eigene Recherchen durchzuführen.
Melden Sie sich bei CoinCu Telegram an, um Neuigkeiten zu verfolgen: https://t.me/coincunews
Folgen Sie dem Youtube-Kanal von CoinCu | Folgen Sie der Facebook-Seite von CoinCu
Hasel
CoinCu-Neuigkeiten
Qubit-Finanzierung Qubit-Finanzierung Qubit-Finanzierung
Andere Beiträge
Verwandte Artikel
News
Pantera Capital TON Investment ist der größte Fonds des VC-Unternehmens im Web3-Bereich
News
Der Gouverneur der US-Notenbank prognostiziert trotz der Inflation keine Zinssenkungen im Jahr 2024
News
Suis zkLogin bietet jetzt Multi-Signatur-Wiederherstellung und Unterstützung für Apple-Konten
News
An 90 % des Stablecoin-Transaktionsvolumens nehmen echte Benutzer nicht teil
News
Pantera Capital TON Investment ist der größte Fonds des VC-Unternehmens im Web3-Bereich
Wissen
US-Wahlvorhersagen: Die Auswirkungen und die Bedeutung des neuen US-Präsidenten
Wissen
Überblick über die US-Wahl: Swing States, Koalitionen und Aussichten für 2024
News
