28 月 80 日、攻撃者は Binance Smart Chain ベースの Qubit Finance から XNUMX 万ドル以上を盗みました。
Qubit Financeは公式Twitterでこの攻撃を発表した。
攻撃に関連したアドレスは次のことを示しています 206,809 BNB Qubit の QBridge プロトコルから盗まれたものです。セキュリティ会社ペックシールドによると、盗まれた資産の価値は次のとおりです。 80万ドル.
インシデントのタイムライン
- 27 年 2022 月 09 日 18:55:XNUMX PM +UTC: 0.8887725 ETH がトルネードから攻撃者のアカウントに送信されました
- 27 年 2022 月 09 日 午後 34:01:27 +UTC~2022 年 09 月 50 日 午後 41:XNUMX:XNUMX +UTC: イーサリアムのQBridgeに16デポジットTXを送信
- 27 年 2022 月 09 日 午後 36:32:27 +UTC~2022 年 09 月 51 日 午後 02:XNUMX:XNUMX +UTC: 16 票送信Qubit Relayer による BSC の QBridge 契約への提案送信
- 多数の xETH トークンが 16 票の提案書 tx によって鋳造され、これを担保として Qubit の流動性が引き出されました。
悪用方法
攻撃者は、イーサリアム ネットワーク上で QBridge デポジット関数を呼び出し、デポジット関数 QBridgeHandler を呼び出しました。
QBridgeHandler は、元の tokenAddress である WETH トークンを受信する必要があります。tx を実行した人が WETH トークンを持っていない場合、転送は行われません。
tokenAddress.safeTransferFrom(預金者, アドレス(この), 金額);
上記のコードでは、tokenAddress が 0 であるため、safeTransferFrom は失敗せず、金額の値に関係なく入金関数が正常に終了しました。
また、depositETHが追加される前はtokenAddressがWETHアドレスでしたが、depositETHが追加されるとETHのtokenAddressであるゼロアドレスに置き換えられます。
まとめると、デポジット機能はdepositETHが新規開発されてからは使ってはいけない機能だったのですが、契約上は残っていました。
行った活動
- チームは引き続き悪用者を追跡し、影響を受ける資産を監視しています。
- チームはプログラムで設定されている最大の報奨金を提供するために悪用者に連絡しました。
- チームはバイナンスを含むセキュリティおよびネットワークパートナーと協力しています。
- 供給、償還、借入、返済、ブリッジ、およびブリッジ償還機能は、追って通知があるまで無効になります。請求が可能です。
免責事項: このウェブサイトの情報は一般的な市場解説として提供されており、投資アドバイスを構成するものではありません。 投資する前に、ご自身で調査を行うことをお勧めします。
CoinCu Telegramに参加して、ニュースを追跡します。 https://t.me/coincunews
CoinCuYoutubeチャンネルをフォローする | CoinCuFacebookページをフォローする
ヘイゼル
CoinCuニュース
Qubit Finance Qubit Finance Qubit Finance