Qubit Finance foi hackeado e roubado US$ 80 milhões
Em 28 de janeiro, os invasores roubaram mais de US$ 80 milhões da Qubit Finance, baseada na Binance Smart Chain.
Qubit Finance anunciou este ataque em seu Twitter oficial.
Endereços relacionados ao ataque indicam que 206,809 BNB foram roubados do protocolo QBridge da Qubit. De acordo com a empresa de segurança PeckShield, os bens roubados valem mais do que $ 80 milhões.
Cronograma do Incidente
- 27 de janeiro de 2022 09:18:55 +UTC: 0.8887725 ETH enviado do tornado para a conta do invasor
- 27 de janeiro de 2022 09h34:01 +UTC~27 de janeiro de 2022 09h50:41 +UTC: Enviou 16 tx de depósito para QBridge of Ethereum
- 27 de janeiro de 2022 09h36:32 +UTC~27 de janeiro de 2022 09h51:02 +UTC: Enviado 16 votosProposta tx para contrato QBridge do BSC por Qubit Relayer
- Vários tokens xETH foram cunhados por 16 voteProposal tx, e a liquidez em Qubit foi retirada usando isso como garantia
Método de exploração
O invasor chamou a função de depósito QBridge na rede Ethereum, que chama a função de depósito QBridgeHandler.
QBridgeHandler deverá receber o token WETH, que é o tokenAddress original, e caso a pessoa que realizou o tx não possua um token WETH, a transferência não deverá ocorrer.
tokenAddress.safeTransferFrom(depositador, endereço(este), valor);
No código acima, tokenAddress é 0, então safeTransferFrom não falhou e a função de depósito terminou normalmente, independentemente do valor do valor.
Além disso, tokenAddress era o endereço WETH antes de depositETH ser adicionado, mas à medida que depositETH é adicionado, ele é substituído pelo endereço zero que é o tokenAddress de ETH.
Em resumo, a função de depósito era uma função que não deveria ser usada após o desenvolvimento recente de depositETH, mas permaneceu no contrato.
Ações tomadas
- A equipe continua rastreando o explorador e monitorando os ativos afetados.
- A equipe entrou em contato com o explorador para oferecer a recompensa máxima definida pelo nosso programa.
- A equipe está cooperando com parceiros de segurança e de rede, incluindo a Binance.
- As funções de fornecimento, resgate, empréstimo, reembolso, ponte e resgate de ponte estão desativadas até novo aviso. A reivindicação está disponível.
AVISO LEGAL: As informações neste site são fornecidas como comentários gerais do mercado e não constituem conselhos de investimento. Nós encorajamos você a fazer sua própria pesquisa antes de investir.
Junte-se ao CoinCu Telegram para acompanhar as novidades: https://t.me/coincunews
Siga o canal CoinCu no Youtube | Siga a página do Facebook da CoinCu
aveleira
Notícias CoinCu
Finanças Qubit Finanças Qubit Finanças Qubit