Qubit Finance ha sido pirateado y robado 80 millones de dólares
El 28 de enero, los atacantes robaron más de 80 millones de dólares de Qubit Finance, basado en Binance Smart Chain.
Qubit Finance anunció este ataque en su Twitter oficial.
Las direcciones relacionadas con el ataque indican que 206,809 BNB fueron robados del protocolo QBridge de Qubit. Según la empresa de seguridad PeckShield, los activos robados valen más de 80 millones de dólares.
Cronología del incidente
- 27 de enero de 2022 09:18:55 p. m. +UTC: 0.8887725 ETH enviado desde tornado a la cuenta del atacante
- 27 de enero de 2022 09:34:01 p. m. + UTC ~ 27 de enero de 2022 09:50:41 p. m. + UTC: Envió 16 depósitos tx a QBridge de Ethereum
- 27 de enero de 2022 09:36:32 p. m. + UTC ~ 27 de enero de 2022 09:51:02 p. m. + UTC: Envió 16 votosPropuesta tx al contrato QBridge de BSC por Qubit Relayer
- Se acuñaron varios tokens xETH mediante 16 voteProposal tx, y se retiró liquidez en Qubit usándolo como garantía.
Método de explotación
El atacante llamó a la función de depósito QBridge en la red Ethereum, que llama a la función de depósito QBridgeHandler.
QBridgeHandler debería recibir el token WETH, que es la dirección del token original, y si la persona que realizó la transmisión no tiene un token WETH, la transferencia no debería ocurrir.
tokenAddress.safeTransferFrom(depositante, dirección(esta), monto);
En el código anterior, tokenAddress es 0, por lo que safeTransferFrom no falló y la función de depósito finalizó normalmente independientemente del valor del monto.
Además, tokenAddress era la dirección WETH antes de que se agregara depositETH, pero a medida que se agrega depositETH, se reemplaza con la dirección cero que es la tokenAddress de ETH.
En resumen, la función de depósito era una función que no debía usarse después de que se desarrollara depositETH, pero permaneció en el contrato.
Acciones tomadas
- El equipo continúa rastreando al explotador y monitoreando los activos afectados.
- El equipo se ha puesto en contacto con el explotador para ofrecerle la recompensa máxima establecida por nuestro programa.
- El equipo está cooperando con socios de red y seguridad, incluido Binance.
- Las funciones de suministro, canje, préstamo, reembolso, puente y canje puente están deshabilitadas hasta nuevo aviso. El reclamo está disponible.
DESCARGO DE RESPONSABILIDAD: La información contenida en este sitio web se proporciona como comentario general del mercado y no constituye asesoramiento de inversión. Le recomendamos que haga su propia investigación antes de invertir.
Únase a CoinCu Telegram para realizar un seguimiento de las noticias: https://t.me/coincunews
Siga el canal de Youtube de CoinCu | Siga la página de Facebook de CoinCu
Color avellana
CoinCu Noticias
Finanzas Qubit Finanzas Qubit Finanzas Qubit
Autor
Noticias
Qubit Finance ha sido pirateado y robado 80 millones de dólares
El 28 de enero, los atacantes robaron más de 80 millones de dólares de Qubit Finance, basado en Binance Smart Chain.
Qubit Finance anunció este ataque en su Twitter oficial.
Las direcciones relacionadas con el ataque indican que 206,809 BNB fueron robados del protocolo QBridge de Qubit. Según la empresa de seguridad PeckShield, los activos robados valen más de 80 millones de dólares.
Cronología del incidente
- 27 de enero de 2022 09:18:55 p. m. +UTC: 0.8887725 ETH enviado desde tornado a la cuenta del atacante
- 27 de enero de 2022 09:34:01 p. m. + UTC ~ 27 de enero de 2022 09:50:41 p. m. + UTC: Envió 16 depósitos tx a QBridge de Ethereum
- 27 de enero de 2022 09:36:32 p. m. + UTC ~ 27 de enero de 2022 09:51:02 p. m. + UTC: Envió 16 votosPropuesta tx al contrato QBridge de BSC por Qubit Relayer
- Se acuñaron varios tokens xETH mediante 16 voteProposal tx, y se retiró liquidez en Qubit usándolo como garantía.
Método de explotación
El atacante llamó a la función de depósito QBridge en la red Ethereum, que llama a la función de depósito QBridgeHandler.
QBridgeHandler debería recibir el token WETH, que es la dirección del token original, y si la persona que realizó la transmisión no tiene un token WETH, la transferencia no debería ocurrir.
tokenAddress.safeTransferFrom(depositante, dirección(esta), monto);
En el código anterior, tokenAddress es 0, por lo que safeTransferFrom no falló y la función de depósito finalizó normalmente independientemente del valor del monto.
Además, tokenAddress era la dirección WETH antes de que se agregara depositETH, pero a medida que se agrega depositETH, se reemplaza con la dirección cero que es la tokenAddress de ETH.
En resumen, la función de depósito era una función que no debía usarse después de que se desarrollara depositETH, pero permaneció en el contrato.
Acciones tomadas
- El equipo continúa rastreando al explotador y monitoreando los activos afectados.
- El equipo se ha puesto en contacto con el explotador para ofrecerle la recompensa máxima establecida por nuestro programa.
- El equipo está cooperando con socios de red y seguridad, incluido Binance.
- Las funciones de suministro, canje, préstamo, reembolso, puente y canje puente están deshabilitadas hasta nuevo aviso. El reclamo está disponible.
DESCARGO DE RESPONSABILIDAD: La información contenida en este sitio web se proporciona como comentario general del mercado y no constituye asesoramiento de inversión. Le recomendamos que haga su propia investigación antes de invertir.
Únase a CoinCu Telegram para realizar un seguimiento de las noticias: https://t.me/coincunews
Siga el canal de Youtube de CoinCu | Siga la página de Facebook de CoinCu
Color avellana
CoinCu Noticias
Finanzas Qubit Finanzas Qubit Finanzas Qubit
Otras publicaciones
Artículos Relacionados
Noticias
Pantera Capital TON Investment es el fondo más grande de la empresa de capital riesgo en el espacio Web3
Noticias
¡Grupo de phishing devuelve criptografía robada por valor de 66.88 millones de dólares a la víctima y cobra recompensa!
Noticias
El mensaje de phishing de TON engaña a los usuarios con 5000 USDT baratos
Noticias
El gobernador de la Reserva Federal predice que no habrá recortes de tipos de interés en 2024 a pesar de la inflación
Noticias
zkLogin de Sui ahora agrega recuperación de firmas múltiples y soporte para cuentas de Apple
Noticias
El caso de la caja de DEUDA se está volviendo cada vez más complicado con los encubrimientos de la SEC
Noticias
El 90% de los volúmenes de transacciones de Stablecoin no cuentan con la participación de usuarios reales
Noticias
Pantera Capital TON Investment es el fondo más grande de la empresa de capital riesgo en el espacio Web3
Noticias
¡Grupo de phishing devuelve criptografía robada por valor de 66.88 millones de dólares a la víctima y cobra recompensa!
Noticias
Las transacciones de Bitcoin ahora han alcanzado el hito de mil millones
Conocimiento
Minería de Bitcoin: ¿Cuánto tiempo se tarda en extraer 1 Bitcoin?
Conocimiento
Predicciones electorales en Estados Unidos: los efectos y la importancia del nuevo presidente de Estados Unidos
Conocimiento
Posibles candidatos a las elecciones estadounidenses de 2024: ¿quién ganará?
Conocimiento
Resumen de las elecciones estadounidenses: estados indecisos, coaliciones y perspectivas para 2024
Noticias
