Qubit Finance a été piraté et volé 80 millions de dollars
Le 28 janvier, des attaquants ont volé plus de 80 millions de dollars à Qubit Finance, basé sur Binance Smart Chain.
Qubit Finance a annoncé cette attaque sur son Twitter officiel.
Les adresses liées à l'attaque indiquent que 206,809 BNB ont été volés sur le protocole QBridge de Qubit. Selon la société de sécurité PeckShield, les biens volés valent plus que 80 millions de dollars.
Chronologie des incidents
- 27 janvier 2022 à 09 h 18 min 55 s + UTC : 0.8887725 ETH envoyés de la tornade au compte de l'attaquant
- 27 janvier-2022 09:34:01 +UTC~27 janvier-2022 09:50:41 +UTC : Envoyé 16 dépôts à QBridge d'Ethereum
- 27 janvier-2022 09:36:32 +UTC~27 janvier-2022 09:51:02 +UTC : Envoyé 16 votesProposition de transmission au contrat QBridge de BSC par Qubit Relayer
- Un certain nombre de jetons xETH ont été émis par 16 votesProposal tx, et la liquidité de Qubit a été retirée en utilisant cela comme garantie.
Méthode d'exploitation
L'attaquant a appelé la fonction de dépôt QBridge sur le réseau Ethereum, qui appelle la fonction de dépôt QBridgeHandler.
QBridgeHandler devrait recevoir le jeton WETH, qui est l'adresse du jeton d'origine, et si la personne qui a effectué la transmission n'a pas de jeton WETH, le transfert ne devrait pas avoir lieu.
tokenAddress.safeTransferFrom(dépôt, adresse(ce), montant);
Dans le code ci-dessus, tokenAddress est 0, donc safeTransferFrom n'a pas échoué et la fonction de dépôt s'est terminée normalement quelle que soit la valeur du montant.
De plus, tokenAddress était l'adresse WETH avant l'ajout de depositETH, mais à mesure que depositETH est ajouté, il est remplacé par l'adresse zéro qui est la tokenAddress d'ETH.
En résumé, la fonction de dépôt était une fonction qui ne devait pas être utilisée après le nouveau développement de depositETH, mais elle est restée dans le contrat.
Les mesures prises
- L'équipe continue de suivre l'exploiteur et de surveiller les actifs concernés.
- L'équipe a contacté l'exploiteur pour lui offrir la prime maximale fixée par notre programme.
- L'équipe coopère avec des partenaires de sécurité et de réseau, dont Binance.
- Les fonctions d'approvisionnement, d'échange, d'emprunt, de remboursement, de pont et de rachat de pont sont désactivées jusqu'à nouvel ordre. La réclamation est disponible.
AVIS DE NON-RESPONSABILITÉ : Les informations contenues sur ce site Web sont fournies à titre de commentaire général du marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d’investir.
Rejoignez CoinCu Telegram pour suivre l'actualité : https://t.me/coincunews
Suivez la chaîne Youtube CoinCu | Suivez la page Facebook de CoinCu
Hazel
Nouvelles CoinCu
Qubit Finance Qubit Finance Qubit Finance
Auteur
Actualité
Qubit Finance a été piraté et volé 80 millions de dollars
Le 28 janvier, des attaquants ont volé plus de 80 millions de dollars à Qubit Finance, basé sur Binance Smart Chain.
Qubit Finance a annoncé cette attaque sur son Twitter officiel.
Les adresses liées à l'attaque indiquent que 206,809 BNB ont été volés sur le protocole QBridge de Qubit. Selon la société de sécurité PeckShield, les biens volés valent plus que 80 millions de dollars.
Chronologie des incidents
- 27 janvier 2022 à 09 h 18 min 55 s + UTC : 0.8887725 ETH envoyés de la tornade au compte de l'attaquant
- 27 janvier-2022 09:34:01 +UTC~27 janvier-2022 09:50:41 +UTC : Envoyé 16 dépôts à QBridge d'Ethereum
- 27 janvier-2022 09:36:32 +UTC~27 janvier-2022 09:51:02 +UTC : Envoyé 16 votesProposition de transmission au contrat QBridge de BSC par Qubit Relayer
- Un certain nombre de jetons xETH ont été émis par 16 votesProposal tx, et la liquidité de Qubit a été retirée en utilisant cela comme garantie.
Méthode d'exploitation
L'attaquant a appelé la fonction de dépôt QBridge sur le réseau Ethereum, qui appelle la fonction de dépôt QBridgeHandler.
QBridgeHandler devrait recevoir le jeton WETH, qui est l'adresse du jeton d'origine, et si la personne qui a effectué la transmission n'a pas de jeton WETH, le transfert ne devrait pas avoir lieu.
tokenAddress.safeTransferFrom(dépôt, adresse(ce), montant);
Dans le code ci-dessus, tokenAddress est 0, donc safeTransferFrom n'a pas échoué et la fonction de dépôt s'est terminée normalement quelle que soit la valeur du montant.
De plus, tokenAddress était l'adresse WETH avant l'ajout de depositETH, mais à mesure que depositETH est ajouté, il est remplacé par l'adresse zéro qui est la tokenAddress d'ETH.
En résumé, la fonction de dépôt était une fonction qui ne devait pas être utilisée après le nouveau développement de depositETH, mais elle est restée dans le contrat.
Les mesures prises
- L'équipe continue de suivre l'exploiteur et de surveiller les actifs concernés.
- L'équipe a contacté l'exploiteur pour lui offrir la prime maximale fixée par notre programme.
- L'équipe coopère avec des partenaires de sécurité et de réseau, dont Binance.
- Les fonctions d'approvisionnement, d'échange, d'emprunt, de remboursement, de pont et de rachat de pont sont désactivées jusqu'à nouvel ordre. La réclamation est disponible.
AVIS DE NON-RESPONSABILITÉ : Les informations contenues sur ce site Web sont fournies à titre de commentaire général du marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d’investir.
Rejoignez CoinCu Telegram pour suivre l'actualité : https://t.me/coincunews
Suivez la chaîne Youtube CoinCu | Suivez la page Facebook de CoinCu
Hazel
Nouvelles CoinCu
Qubit Finance Qubit Finance Qubit Finance
Autres articles
Articles Similaires
Actualité
L'ETF Grayscale Spot Ethereum est désormais la priorité absolue de l'entreprise
Communiqués de presse
Les dépôts Polygon (MATIC) sont désormais pris en charge sur Crypto.Games Casino !
Actualité
La manipulation du marché de DWF Labs est-elle couverte par Binance, ou existe-t-il un secret important ?
Actualité
Pantera Capital TON Investment est le plus grand fonds de la société de capital-risque dans l'espace Web3
Actualité
L'arrêt de BlockFi aura lieu en mai, les utilisateurs doivent retirer leurs actifs avant le 28 avril
Actualité
L’affaire DEBT Box devient désormais de plus en plus compliquée avec les dissimulations de la SEC
Actualité
L'investissement de Pantera Capital TON vise à améliorer les capacités de paiement P2P
Actualité
90 % des volumes de transactions Stablecoin n’ont aucune participation d’utilisateurs réels
Actualité
Une erreur d'adresse entraîne une perte WBTC de 68 millions de dollars et la victime tombe dans une escroquerie par hameçonnage
Actualité
Les transactions Bitcoin ont désormais atteint le cap du milliard
Meilleurs projets
Top 10 des meilleurs robots Crypto Telegram en 2024
Connaissance
Minage de Bitcoin : combien de temps faut-il pour extraire 1 Bitcoin ?
Connaissance
Candidats potentiels aux élections américaines de 2024 : qui va gagner ?
Connaissance
Prédictions électorales américaines : effets et importance du nouveau président américain
Connaissance
