क्यूबिट फाइनेंस को हैक कर लिया गया है और 80 मिलियन डॉलर चुरा लिए गए हैं
28 जनवरी को, हमलावरों ने बिनेंस स्मार्ट चेन-आधारित क्यूबिट फाइनेंस से $80 मिलियन से अधिक की चोरी की।
क्यूबिट फाइनेंस ने अपने आधिकारिक ट्विटर पर इस हमले की घोषणा की।
हमले से जुड़े पते यही संकेत देते हैं 206,809 BNB क्यूबिट के QBridge प्रोटोकॉल से चुराए गए थे। सुरक्षा फर्म पेकशील्ड के अनुसार, चोरी की गई संपत्ति की कीमत इससे अधिक है 80 $ मिलियन.
घटना समयरेखा
- जनवरी-27–2022 09:18:55 अपराह्न +UTC: 0.8887725 ETH बवंडर से हमलावर के खाते में भेजा गया
- जनवरी-27–2022 09:34:01 अपराह्न +UTC~जनवरी-27–2022 09:50:41 अपराह्न +UTC: एथेरियम के QBridge को 16 डिपॉजिट tx भेजे गए
- जनवरी-27–2022 09:36:32 अपराह्न +UTC~जनवरी-27–2022 09:51:02 अपराह्न +UTC: क्यूबिट रिलेयर द्वारा बीएससी के क्यूब्रिज अनुबंध को 16 वोटप्रस्ताव टीएक्स भेजा गया
- 16 वोटप्रस्ताव tx द्वारा कई xETH टोकन ढाले गए, और इसे संपार्श्विक के रूप में उपयोग करके क्यूबिट में तरलता वापस ले ली गई
शोषण विधि
हमलावर ने एथेरियम नेटवर्क पर QBridge डिपॉज़िट फ़ंक्शन को कॉल किया, जो डिपॉज़िट फ़ंक्शन QBridgeHandler को कॉल करता है।
QBridgeHandler को WETH टोकन प्राप्त होना चाहिए, जो मूल टोकन पता है, और यदि tx करने वाले व्यक्ति के पास WETH टोकन नहीं है, तो स्थानांतरण नहीं होना चाहिए।
टोकनएड्रेस.सेफट्रांसफरफ्रॉम(जमाकर्ता, पता(यह), राशि);
उपरोक्त कोड में, टोकनएड्रेस 0 है, इसलिए सेफट्रांसफरफ्रॉम विफल नहीं हुआ और राशि मूल्य की परवाह किए बिना जमा फ़ंक्शन सामान्य रूप से समाप्त हो गया।
इसके अतिरिक्त, डिपॉजिटईटीएच जोड़ने से पहले टोकनएड्रेस WETH पता था, लेकिन जैसे ही डिपॉजिटईटीएच जोड़ा जाता है, इसे शून्य पते से बदल दिया जाता है जो ईटीएच का टोकनएड्रेस है।
संक्षेप में, डिपॉज़िट फ़ंक्शन एक ऐसा फ़ंक्शन था जिसका उपयोग डिपॉज़िट ETH के नव विकसित होने के बाद नहीं किया जाना चाहिए, लेकिन यह अनुबंध में बना रहा।
कदम उठाए गए
- टीम शोषक का पता लगाना और प्रभावित परिसंपत्तियों की निगरानी करना जारी रख रही है।
- टीम ने हमारे कार्यक्रम द्वारा निर्धारित अधिकतम इनाम की पेशकश करने के लिए शोषक से संपर्क किया है।
- टीम बिनेंस सहित सुरक्षा और नेटवर्क भागीदारों के साथ सहयोग कर रही है।
- आपूर्ति, रिडीम, उधार, पुनर्भुगतान, ब्रिज और ब्रिज रिडेम्पशन फ़ंक्शन अगली सूचना तक अक्षम हैं। दावा उपलब्ध है.
अस्वीकरण: इस वेबसाइट पर जानकारी सामान्य बाजार टिप्पणी के रूप में प्रदान की गई है और यह निवेश सलाह नहीं है। हम आपको निवेश करने से पहले अपना शोध करने के लिए प्रोत्साहित करते हैं।
समाचारों पर नज़र रखने के लिए CoinCu टेलीग्राम से जुड़ें: https://t.me/coincunews
CoinCu Youtube चैनल को फॉलो करें | CoinCu फेसबुक पेज को फॉलो करें
भूरा
CoinCu समाचार
क्यूबिट फाइनेंस क्यूबिट फाइनेंस क्यूबिट फाइनेंस